При перезагрузке компа в каталоге Windows/temp создаются файлы типа 1.tmp, 2.sys, 1.dll и тд, которые определяются как вирусы. *.sys определяются как Backdoor.Win32.IRCBot.csk, *.tmp как Trojan-Mailfinder.Win32.Small.ae,*.dll как Trojan.Win32.Agent.aebb. Кроме того, часто при перезагрузке после появления окна выбора профилей пользователей происходит сбой, при котором выводится сообщение с абракадаброй в которой можно только разобрать winlogon (наверное потому, что оно по-английски).
Лечение не помогает - вирусы кроме тех что в temp, не обнаруживаются даже если проверять из другой винды (у меня установлены 2 ХП одна, в которой обычно работаю, заражена, другая чистая).
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнил, но пришлось редактировать 17 строку (скрипт не запускался):
было DeleteFile('f:\windows\temp\'*');
стало DeleteFile('f:\windows\temp\*');
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Скрипт выполнил.
Папки очистил, но один файл с вирусом в папке Windows/temp не удаляется - сообщение что он используется.
Карантин закачал, новые логи прилагаю.
ПС: Вы просите выключать антивирус. У меня НОД32, убрал его из автозагрузки, но своё ядро он всё равно грузит. Ничего с ним сделать не могу.
Ошибка карантина файла, попытка прямого чтения (ForcewareWebInterface.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (nSvcLog.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (nSvcIp.sys)
Карантин с использованием прямого чтения - ошибка
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Новые логи.
Карантин залил.
Маленькие заметки:
Удалять файлы из windows/temp можно, но кроме одного .tmp - того который был создан после последней перезагрузки. Его нельзя удалить никак. При просмотре утилитой процессвьюер видно что он используется только winlogon.
Даже если очистить папку windows/temp при загрузке из другой винды, они всё равно воскресают. Но при загрузке из другой системы в данной папке обнаруживается ещё файл .dll (при загрузке заражённой системы его нет, есть только файлы .tmp и .sys - кстати, и нод32 и онлайн проверка на сайте касперского однозначно определяют .sys как вирус, а AVZ его игнорирует)
Посмотрите, если ли у Вас такие каталоги, и, если есть, то напишите имена файлов, которые там есть:
F:\Settings\
F:\documents and settings\all users\Documents\settings\
Каталоги и файлы в нем имеют атрибут "скрытый", поэтому если отключена, активируйте опцию показа скрытых системных файлов.
Программы качаю - как скачаю и протестирую сообщу результаты.
Каталога F:\Settings\ нет, в F:\documents and settings\all users\Documents\settings\ сейчас только desktop.ini, но когда-то там был обнаружен (и убит) какой-то вирь. Файл назывался что-то типа ABC (если память не изменяет). Но это было давно и после этого в этом каталоге ничего не появлялось.
Уважаемый(ая) Suslik's, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: