-
Junior Member
- Вес репутации
- 57
1.exe на рабочем столе
Приболел, отличил Касперским, порядка 100 файлов, решил, что все нормально.
А сейчас у меня прямо на рабочем столе что-то живет а именно: через каждые 3-5 минут на рабочем столе появляется «произвольная цифра или буква».tmp фаил, а время от времени появляется и исчезает 1.exe фаил.
Последний раз редактировалось ivanof; 01.10.2008 в 09:56.
Причина: Прикрепляю логи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-00401C608512');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\Documents and Settings\Admin\svchost.exe','');
DeleteService('Microsoft Memory Driver');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DeleteFile('C:\Documents and Settings\Admin\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=31183
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: (no name) - AutorunsDisabled - (no file)
Повторите логи
-
Junior Member
- Вес репутации
- 57
Сделал
Сообщение от
wise-wistful
Сделал
Сообщение от
wise-wistful
Сделал, последний карантин был пустым, оправил предпоследний.
Сообщение от
wise-wistful
Сделал
Сообщение от
wise-wistful
Повторите логи
Сделал
Фаил 1.ехе появился в каталогах AVZ
-
Отключите Восстановление системы.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Microsoft Memory Driver');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Повторите логи, только все 3 лога.
-
Junior Member
- Вес репутации
- 57
Сделал
Сделал
tmp файлы продолжают плодиться
-
В АВЗ выполните:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DeleteFile('C:\Documents and Settings\Admin\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Microsoft Memory Driver');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
Последний раз редактировалось Alex_Goodwin; 01.10.2008 в 18:09.
-
Junior Member
- Вес репутации
- 57
Сделал
Из 'C:\RECYCLER файлы нельзя удалить даже если загрузился с CD. Я их удаляю а они тутже появляються с новым именем
-
Сообщение от
ivanof
Из 'C:\RECYCLER файлы нельзя удалить
Можно : http://virusinfo.info/showthread.php?t=30250 Или отключите корзину (Свойства/Файлы удалять немедленно,,,)
-Пофиксите
Код:
O9 - Extra button: (no name) - AutorunsDisabled - shell32.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: Добавить в избранное мобильного устройства... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - shell32.dll (file missing)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
Повторите логи по п.2 и 3 Диагностики.
Последний раз редактировалось Rene-gad; 01.10.2008 в 20:19.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 57
Сделал.
Все продолжается, нервы сдают, я уже близок к format C:
-
Junior Member
- Вес репутации
- 57
Залил к вам фаил 1.exe
Залил к вам через http://virusinfo.info/upload_virus.php?tid=31183 появляющийся на рабочем толе фаил 1.exe может в нем что-то увидите.
-
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. Пройдите к Вашему рабочему столу. Внимание!!! В консоли восстановления доступны имена/пути только в формате DOS8.3 , т.е.
Код:
C:\dokume~1\<<имя учетки>>\Desktop
, выполните команду , найдите и удалите файл командой или переименуйте его в 1.txt комадой
-
-
Junior Member
- Вес репутации
- 57
В этом нет смысла
В этом нет смысла, поскольку он и сам удаляется через несколько секунд после появления.
Он появляется и исчезает. Я могу его подловить и удалить и в обычном сеансе но он снова появится.
Или вы считаете, что в консоли восстановления он проста будет и после удаления не всплывет?
-
-
-
Junior Member
- Вес репутации
- 57
Сдесал.
Записал на диск проверил в сейвмоде, найден один скрипт вирус, удалил не помогло.
-
- Выполните скрипт
Код:
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
После перезагрузки повторите логи.
-
-
Junior Member
- Вес репутации
- 57
Сделал
Сделал.
Учитывая, что выскакивают новые зловреды, думаю что что-то их подтягивает.
-
Не знаю, как Вы, но я в последних логах ничего подозрительного не обнаружил.
-
-
Junior Member
- Вес репутации
- 57
Я и предыдущих ничего не видел.
Я и предыдущих ничего не видел. Я не большой специалист, но симптомы остались те же:
На рабочем столе плодятся .tmp (прилагаю), появляется и пропадает 1.exe.
Интернет экстлорер самопроизвольно закрывается,
Обновление с майкрософта – ошибка,
Онлайн проверка Касперского ошибка.
Все это явно нездоровье и длиться уже неделю, странно что никто из антивирусов еще не научился это лечить.
Спасибо за попытку, может из tmp что то удастся понять
Добавлено через 32 минуты
Касперский нашел в файле 1.exe вирус Trojan.Win32.Agent.aeuq.
Как его победить?
Последний раз редактировалось Rene-gad; 03.10.2008 в 14:48.
Причина: Добавлено
-
Давайте рассуждать логически (с).
У Вас сидит зараза. АВЗ ее не видит, т.к. это файловый вирус. Файловые антивирусы ее так же устранить не могут.
Вывод:
- либо жить с заразой дальше либо переустановить систему.
Какие будут у Вас еще предложения?
-
-
Junior Member
- Вес репутации
- 57
Кажется Касперский убил его
Кажется Касперский убил его. Его звали Trojan.Win32.Agent.aeuq. Кстати он был и в карантине avz00013.dat, думаю я вам его присылал.
Спасибо за помощь.
Последний раз редактировалось Rene-gad; 03.10.2008 в 16:08.
Причина: формат текста