только что - искал tcpip.sys в C:\Documents and Settings, кликнул на открытие сайта (надежного), он не успел открыться - комп повис намертво. Ни жесткий, ни мышка, ни клавиатура - ничего не работает, а после перезагрузки нахожу такое:Сообщение от wise-wistful
C:\Documents and Settings\Kirill\msftp.dll
C:\Documents and Settings\Kirill\~tmp1174.exe.
Есть у меня подозрение, что он каким-то образом восстанавливается...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Давайте новые логи. tcpip.sys в карантине есть (и зачем Вы его в C:\Documents and Settings искали?). Вы в сети с фаерволом были?
Поставил недавно Jetico, но отключил, т.к. не настроил пока его (он был на старом компьютере, но те настройки пока не найду).
А вы в локальной сети или нет. У вашего компьютера IP постоянный?
Да, у нас довольно большая локальная сеть по району, но "расшаривание напрямую" и другие лишние (с точки зрения безопасности) протоколы уже несколько лет назад отключили. Весь файлообмен через DC++ или mIRC (этим я почти не пользуюсь).
IP прописан в настройках сетевой карты, там же шлюз, маска и т.п. Или вы имеете в виду: статический ли у меня IP? Если это, то нет.
Прикладываю новые логи.
Давайте попоробуем такой скрипт
Карантин загрузите согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Program Files\Pixologic\ZBrush3\ZData\ZPlugs\WebZPlug.dll',''); DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Temp\7B1E.tmp'); DeleteFile('C:\Documents and Settings\Kirill\Local Settings\Temporary Internet Files\Content.IE5\G56RS5EF\systemdll64[1].exe'); DeleteFile('C:\Documents and Settings\Kirill\msftp.dll'); DeleteFile('C:\Documents and Settings\Kirill\~tmp1174.exe'); DeleteFile('C:\Documents and Settings\Mama\msftp.dll'); DeleteFile('C:\Documents and Settings\Mama\~tmp1174.exe'); DeleteFile('C:\Documents and Settings\LocalService\msftp.dll'); DeleteFile('C:\Documents and Settings\LocalService\~tmp1174.exe'); DeleteFile('C:\WINDOWS\system32\msftp.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Скрипт выполнил, компьютер перезагрузился - вроде все шло нормально. Смотрю карантин - ни в 02-13, ни в 02-14 ничего кроме старых файлов и библиотек ZBrush нет. Прислал.
Последний раз редактировалось Kirik; 14.02.2008 в 01:51.
Чистить карантин скриптом надо, так как туда накидало всяко разно. Попробуйте поискать при помощи АВЗ сервис--поиск файлов на диске WebZPlug.dll. Если найдётся пришлите его по правилам.
Добавлено через 25 минут
Простите не нужно искать, он попал в карантин. Вирлаб дал ответ что WebZPlug.dll и tcpip.sys - чистые.
Последний раз редактировалось wise-wistful; 14.02.2008 в 02:12. Причина: Добавлено
Все вроде бы в порядке, но компьютер иногда стал виснуть по непонятным причинам. Обычно, когда фокус на браузере, чаще при закрывании его или переходе по ссылке.
Добрый день!
Проблема с зависанием компьютера на Firefox'e не исчезла - после переустановки этот браузер теперь просто не запускается. Диспетчер задач показывает появление и "уничтожение" процесса браузера. Решил посмотреть: что в реестре с ним, может анинсталить и почистить, - regcleanr.exe (самый удобный менеджер реестра, на мой взгляд) запускается, но окно не создается...
Может трояны повредили системные файлы? Как это проверить? Или я зря мучаюсь?...
логов не было ни после скрипта, ни сейчас .... ну хоть фотографию правой руки приложите - гадать будем ...
Простите, сейчас сделаю...
Прикладываю...
в логах похоже ничего активно-зловредного .... у вас установлен Jetico Personal Firewall -как я понимаю не настроенный ... похоже он и прибивает огненного лиса ....
Добавлено через 2 минуты
на всякий случай пришлите карантин собранный авз ... virusinfo_cure.zip
Последний раз редактировалось V_Bond; 17.02.2008 в 19:53. Причина: Добавлено
Сейчас поясню... Джетико установлен, но т.к. он меня активно замучал тем, что не получалось его грузить в режим "allow all", то я просто перенес его экзешник в другую папку, на время...
А нужен был попросту для того, чтобы с меня не тянули кино по интернету через DC++. Все бы хорошо, но в прошлом месяце я кому-то "подарил" свой "быстрый интернет", таким образом. Все, сверх 4Гб траффика (любого) идет по низкой скорости.
Могу помимо virusinfo_cure.zip прислать последний отчет CureIt, он там что-то интересное находил в Documents&Settings.../TempInternet*, но прибил это.
Последний раз редактировалось drongo; 18.02.2008 в 00:23.
уберите карантин из темы - хотя там ничего вредоносного ... не положено ...
вы думаете таким образом вы его отключили .... ? - ошибаетесь ...
нужно НОРМАЛЬНО настроить ....
Насчет карантина - не понял, откуда его убратьуберите карантин из темы - хотя там ничего вредоносного ... не положено ...
нужно НОРМАЛЬНО настроить ....
Для эксперимента - снес Jetico, эффект тот же. Firefox не запускается... т.е. "слетает".
Кстати.. интересно, что последний раз компьютер завис "просто так"... Т.е. было активно окно Firefox, я куда-то отошел, а пришел - все крепко висит.
"слетает" - без ошибки ?
Да, появляется (выделяется зеленым) и слетает (выделяется красным в procexp - так, будто процесс сняли "Kill process" без подтверждения). Никаких ошибок не пишет. А RegCleanr.exe запускается, но до окна "не доходит"... Так и виден в процессах - можно еще запустить один, добавляется.
Вы не могли бы посоветовать, - что делать?
Уважаемый(ая) Kirik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
