А теперь комп №2

**ophelia_milles** · 25.12.2007, 13:19

Подозреваю, что с тем же результатом.
Но я все правильно сделала. Я не сомневаюсь. Когда открываю карантин там 2 файла hse8fhj3hjd.dll в архиве как то получаются 2 файла *.ini

Файл сохранён как
071225_040548_virus_4770d5fcbb631.zip

Размер файла
602

MD5f7ffee701c730183c02563be48afd46f

и вот еще логи компа №2

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**ophelia_milles** · 25.12.2007, 15:10

у меня 2 компа. один подключен к инету (это будет комп №1) а другой нет (комп №2) , переодически происходит обмен файлами между ними (в локальную сеть они не подключены) . Кмп №1 точно заражен троянами причем уже давно (как минимум полгода). У компа №2 доктор веб находит win32.
А вот и логи.

логи выше.

**rubin** · 25.12.2007, 16:11

Выполните скрипт и карантин пришлите

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\XRegLib.dll','');
 QuarantineFile('C:\WINDOWS\System32\shdocvw.dll','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

Пофиксьте в HJT:

Код:

O9 - Extra button: (no name) - DctMapping - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

**ophelia_milles** · 26.12.2007, 14:55

1. сегодня пофиксила
2. сегодня выполнила скрипт
3. карантин высылаю
файл virus это сегодняшний
Файл сохранён как
071226_050842_virus_4772363ad3716.zip
Размер файла
248915
MD5
088fdc607ff3b3c42103cf3a43160f8

а virus1 это вчерашний
те это было ло того как я пофиксила и сделала скрипты
Файл сохранён как 071226_091002_virus1_47726ecacefab.zip
Размер файла 12297397
MD5 35d151649a49b871473ca491daa5dfec

4.свежие сегодняшние логи прилагаются
5. у меня вопрос к размышлению: уже довольно давно компьютер при загрузке делает стандартную проверку дисков, как если б его выключили не корректно. А я его об этом не просила. Страшно раздражает. Внимание вопрос: почему он это делает? и как от этого избавиться?

**PavelA** · 26.12.2007, 15:45

Сообщение от ophelia_milles

5. у меня вопрос к размышлению: уже довольно давно компьютер при загрузке делает стандартную проверку дисков, как если б его выключили не корректно. А я его об этом не просила. Страшно раздражает. Внимание вопрос: почему он это делает? и как от этого избавиться?

Делает это он по той причине, что один из дисков имеет структуру FAT32.
При помощи нехитрых манипуляций можно его отучить делать эти проверки, постараюсь их найти (один из советов p2u)

**ophelia_milles** · 26.12.2007, 17:48

а почему тогда раньше он этого не делал???

**PavelA** · 26.12.2007, 17:59

Потому что сейчас в реестре стоит неснимаемая галочка, заставляющая его делать это.
Совет от p2u: Если буква диска другая, то смените.

Проблема c chkdsk решается так: Пуск - Выполнить - cmd (Enter) Ввести сначала: fsutil dirty query d:. Будет проверка. Скорее всего говорят вам, что он грязный. Потом CHKNTFS /X D: X говорит Windows, что не надо проверять диск D. Перезагрузите компьютер. Сообщите о результатах. Paul

**ophelia_milles** · 27.12.2007, 00:58

СПАСИБО!!! помогло.
А что сделать чтоб он перестал быть грязным?
Простите за наивность, но не дифрагментацию же...

Добавлено через 4 часа 50 минут

Почему то у меня такое ощущение, что моими логами и карантином никто не заинтересовался

.
Посмотриите пожалуйста

Я не возмущаюсь... я просто ною

**PavelA** · 27.12.2007, 10:04

Карантин не содержит ничего зловредного.

sockspy.dll - вот такой файл поискать через AVZ и прислать. Очень странно, что ее не видно в логе HJ.

**ophelia_milles** · 27.12.2007, 11:47

а как же win32? у меня вообще его находил антивирус (др Веб)

**PavelA** · 27.12.2007, 12:01

Что за win32? Нужно полное название вируса из лога Др. Веба. Если Др. Веб находил, то он скорее всего удалил его и отправил в карантин.

Прикрепите сюда лог Др.Веба, м.б. тогда понятнее станет.

**ophelia_milles** · 27.12.2007, 13:17

ну того др веба, что по правилам у вас на сайте надо скачать и проверить
"У компа №2 доктор веб находит win32." вот жеш писала в самом начале...

Добавлено через 32 секунды

щас пойду еще раз все проверю и пришлю

Добавлено через 45 минут

и еще. Вы уверены что наш пациент чем то заболел и нуждается в помощи?

**PavelA** · 27.12.2007, 14:09

Не надо ничего качать. Надо просто прислать лог того самого Доктора, о котором писалось вначале. С компа №2:

>>У компа №2 доктор веб находит win32.

Просто эта sockspy.dll несколько подозрительная. Ваш пациент, Вы волнуетесь, вот я и пытаюсь помочь, найти причину этих волнений.

**ophelia_milles** · 27.12.2007, 16:02

ну так это тот самый доктор, который скачан вначале с сайта. написано ж в правилах- сначала скачайте, обновите, проверьте... А я всякие врачебные инструкции очень люблю и выполняю

он щас проверяется, пока не находит. Я ж безжалостно удалила папку где он вин 32 нашел. Может и нет его уже. Как провериться я через АВЗ поищу файл, который вы подозреваете.

Добавлено через 1 час 20 минут

в общем с полей такие вести
веб ничче не нашел
авз нашла подозреваемого sockspy.dll в папке виндовс/систем32/sockspy.dll
но в карантин почему то не скопировала (хоть 100 раз нажимай кнопку "копировать в карантин") поэтому я сходила в эту папку нашла его вручную и заархивировала и высылаю

Файл сохранён как 071227_070148_sockspy_4773a23c6be38.zip
Размер файла 28502
MD5 532ad060f29a9ce57823e62da1ebeace

**PavelA** · 27.12.2007, 16:19

Вирустотал говорит, что файл чистый. Снимаем с него подозрения.

**ophelia_milles** · 27.12.2007, 17:56

те как я правильно поняла с этим компом все хорошо?

)))
так?
и еще просьбочка
загляните во вторую тему, которую я начала, Вы так оперативно и качественно работаете ,что может и по первому компу что то дельное подскажите
http://virusinfo.info/showthread.php...833#post163833
хотя, если это противоречти профессиональной этике, не стану настаивать