Из симптомов: кто-то начал дописывать exe-шники
P.S.
CureIt определил 2600 файлов как Win32.Kolumb.2
Avast Home - как Win32:Agent-AAGM те же файлы
Прилагаются логи согласно правилам форума
Из симптомов: кто-то начал дописывать exe-шники
P.S.
CureIt определил 2600 файлов как Win32.Kolumb.2
Avast Home - как Win32:Agent-AAGM те же файлы
Прилагаются логи согласно правилам форума
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\shmgrate.exe',''); DeleteFile('C:\WINDOWS\system32\shmgrate.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
Повторные логи после выполнения скрипта
Карантин услал. Если надо повторить - скажите
Последний раз редактировалось Rene-gad; 23.09.2008 в 11:05.
От файлового вируса надо лечить, как написано здесь: http://virusinfo.info/showthread.php?t=15927
Если после лечения вирусы больше не будут обнаруживаться, то сделайте новые логи по правилам.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Просканерил всю машину. Вирусов найдено небыло.
Присылаю логи, согласно правилам.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\spoolsv.exe',''); DeleteFile('C:\WINDOWS\system32\shmgrate.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
Выполнил. Услал карантин (Файл более 35 Мб, если не дойдет, скажите. попробую еще раз кинуть )
Новые логи
карантин закачался
- Выполните скрипт
После перезагрузки:Код:begin ClearQuarantine; SetAVZPMStatus(True); RebootWindows(true); end.
- Сделайте повторный лог по п. 2 Диагностики.
Выполнил
Вот лог из п.2
kps был прав - у Вас какая-то файловая зараза, которая системные файлы пропатчила.
Скачайте IceSword , удалитес помощью force delete
Выполните sfc /scannow: http://support.microsoft.com/?scid=k...10747&x=12&y=8Код:C:\WINDOWS\system32\shmgrate.exe
Потребуется дистрибутив.
Я извеняюсь, но у меня в C:\Windows\system32 нет файла shmgrate.exe
Его нет в списке IceSword.exe и ни один файловый менеджер его не видит...
Нашел его по такому пути:
C:\WINDOWS\system32\dllcache\shmgrate.exe
Удалять?
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\dllcache\shmgrate.exe',''); DeleteFile('C:\WINDOWS\system32\dllcache\shmgrate.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.[/QUOTE]
Выполнил.
Логи
Карантин тоже услан
Последний раз редактировалось Rene-gad; 23.09.2008 в 14:33.
Выношу топик на консилиум.
Есть идеи? Неужели у меня так все плохо? "Доктора", жить то хоть буду? :-)
P.S. Ночное сканирование системы вирусов не выявило.
Если не сложно, скажите пожалуйста какая в итоге у меня ситуация.
А то я по ответам понимаю, что зараза есть, а по признакам машины - вроде уже нет...
В логах постоянно присутствует файл: shmgrate.exe
Не карантинится и не удаляется - может и удаляется, но восстанавливается. Кем и чем - сказать не можем.
Ясно. Спасибо.
Всем хелперам большое спасибо за потраченное время!
а может это совсем безобидный:http://processlist.com/info/shmgrate.html, а так как в белом списке avz, вот и не копируеться.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Уважаемый(ая) WDima, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.