Здравствуйте!
Нужна помощь.
Пару недель назад TrendMicro вдруг ругнулся на вирус и система повисла.
На следующий день инет-провайдер блоканул меня из-за вируса.
С тех пор борюсь и не могу полностью вылечится.
Снёс ТМ, установил Касперского 7. Пользовался всеми доверенными средствами лечения - не помагает.
Симптомы - после загрузки системы через 3-4 минуты Касперский ругается, что обнаружен вирус Trojan-GameThief.Win32.OnLineGames.*
В папке Temp появляются файлы rav4.tmp RavUpdate.dat wmsetup.dll
и в папке Messenger появляется msgmr.dll, который Касперский убивает.
Т.е. Касперский с текущими проблемами вроде справляется, но видно, что в системе живет какой-то лоадер и закачивает всякую гадость...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполнил указанное, прождал 15 минут, симптомов не появлялось.
Но потом опять тоже самое - RavUpdate.dat - 0 байт и wmsetup.dll - 5120 байт в папке C:\WINDOWS\Temp\
Но есть и отличия - эти файлы "не переселяются" в папку Месенджера и ,видимо, не активируются, так как Касперский не "лает" про вирусы.
А "кино" всё продолжается...
Касперский выдал:
"удалено: троянская программа Trojan-Downloader.Win32.Agent.yuv Файл: C:\Program Files\Messenger\msgmr.dll"
Последний раз редактировалось Ketino; 21.09.2008 в 17:03.
Причина: Добавлено
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
Выполнил инструкцию.
После скрипта и перегрузки винда обнаружила новое устройство и не смогла автоматом найти "дрова".
Что это за устроство я определить не смог - внешне всё оборудование работает нормально, но в диспетчере - "Неизвестное устройство"
Карантин отправил
"Файл сохранён как 080921_094917_VIRUS_48d65eed12531.ZIP
Размер файла 18359
MD5 07436f0253a0db36de25695ef9f06251"
Последний раз редактировалось Ketino; 21.09.2008 в 19:00.
Пофиксил даже то, что не нужно было.
Неизвестное устройство после удаления не объявлялось.
А файлы всё так же лезут и Касперский их "рубает"...
Имеется особенность - стрёмные файлы лезут только раз после перегрузки и после того как Касперский их зарубит - больше до перезагрузки - тихо.
Может это поможе найти "гнездо" .
Забыл упомянуть, что уже давно всю папку "Internet Explorer" перенёс с диска С от греха по дальше и юзаю ФайрФокс.
Но это положительно не послияло на результат.
Гады появляются через Content.IE5
Лезут через "Temporary Internet Files" то текущего юзера, то NetworkService случайным образом.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: