Привет Всем! Вообщем, нашел на флешке новую папку, захожу, оказывается exe-шным файлом, открывается проводник и тишина! Далее, заметил в "Моих документах" в каждой из папок новый exe-шный файл с повторяющимся именем папки. Размеры файлов одинаковые 41,6 кб. При удалении этих файлов с флешки - удаляются, но потом опять появляются! При попытке скачать HijackThis комп грузится! Скачал через другой комп. При попытке загрузить HijackThis - комп говорит сбой при инициализации рабочей станции, перезагружается! DrWeb CoreIT - подвисает в конце работы!
Еще в корневой директории диска нашел файл brengkolang.com.exe
И еще: Исчезла иконка изменения свойств папки - не видно расширений файлов! Захожу через справку, говорит установлены ограничения, обратитесь к админу!
Спасибо за внимание, кто, что знает - помогите!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
c:\windows\system32\dll32\csrss.exe - вот этот файл сами устанавливали? если нет - пришлите его
C:\WINDOWS\system32\ComRoot\csrss.exe - видимо аналогичный файл
вот эти файлы относятся к червю, их нужно удалить:
c:\documents and settings\Пользователь\local settings\application data\lsass.exe
c:\documents and settings\Пользователь\local settings\application data\services.exe
c:\documents and settings\Пользователь\local settings\application data\winlogon.exe
C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe
C:\Documents and Settings\Пользователь\Local Settings\Application Data\smss.exe
C:\WINDOWS\ShellNew\sempalong.exe
C:\WINDOWS\eksplorasi.exe
C:\Documents and Settings\Пользователь\Шаблоны\Brengkolang.com
вот этих прислать:
C:\WINDOWS\system32\SkinMenu.ocx
C:\WINDOWS\System32\Drivers\Hotkey.SYS
C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\Empty.pif
C:\WINDOWS\nvsvc32.exe
c:\autoexec.bat
файл C:\Program Files\NewDotNet\newdotnet7_22.dll если он еще есть - удалить, лучше вместе со всей папкой C:\Program Files\NewDotNet\
после получения указанных файлов будет рассказан подробный и полный алгоритм лечения (начать можно с поиска на диске файлов sempalong.exe, eksplorasi.exe, WowTumpeh.com, animation.scr, eksplorasi.pif, ElnorB.exe, A.kotnorB.com, 3d Animation.scr, bronstab.exe, IDTemplate.exe, bararontok.com, Bron.Tok.*, Brengkolang.com, Setting.scr, BronFoldNetDomList.txt, BronNetDomList.bat, BronNPath0.txt, rontokbro.txt, NetMailTmp.bin и их убиения)
Последний раз редактировалось MOCT; 25.06.2006 в 20:24.
Огромное Спасибо, что помогаете! Замечательно, по описаниям все сходится! Но! - Вышеперечисленные файлы для моего компа не видимы(установлены настройки в реестре скрытые)! - реестр заблокирован! Воспользовался другим компом через сетку - все удаляемые файлы моментально восстанавливаются. процессы lsass.exe, services и winlogon - не удаляются! При нажатии завершить процесс - говорит, что процесс критический - не возможно!
Через msconfig отключил автозагрузку всех файлов, но при перезагрузке загрузка только этих файлов восстанавливается! Попробовал через DOS блин у меня NTFS - DOS не видит диски! Может стоит попробовать вытащить жесткий диск с Notebook'а и как-нибудь подключить к настольному!??? Правда возможно-ли? Или лучше еще одну Винду поставить и уже с нее снести эти файлы? Еще раз премного благодарен за консультацию!!!
И еще, хитрым способом я все-таки залез в c:\documents and settings\Пользователь\local settings\application data , я даже не успел начать удалять, как пошло завершение работы компа!
Ну блин вирус...ладно хоть ни чего не удаляет!
Вышеперечисленные файлы для моего компа не видимы(установлены настройки в реестре скрытые)! - реестр заблокирован! Воспользовался другим компом через сетку - все удаляемые файлы моментально восстанавливаются. процессы lsass.exe, services и winlogon - не удаляются! При нажатии завершить процесс - говорит, что процесс критический - не возможно!
естественно, потому что у Вас в памяти висит настоящий winlogon, который трогать нельзя. ну и другие процессы тоже настоящие. надо сперва смотреть, откуда именно они стартуют, а потому уже убивать лишние.
Сообщение от Марсель
Через msconfig отключил автозагрузку всех файлов, но при перезагрузке загрузка только этих файлов восстанавливается! Попробовал через DOS блин у меня NTFS - DOS не видит диски! Может стоит попробовать вытащить жесткий диск с Notebook'а и как-нибудь подключить к настольному!??? Правда возможно-ли?
можно, если Вы купили заранее специальный переходник для такого hdd
Сообщение от Марсель
Или лучше еще одну Винду поставить и уже с нее снести эти файлы?
все можно решить не выключая компьютера и ничего дополнительно не устанавливая.
однако, по-русски попросил прислать файлы, чтобы можно было сказать что делать дальше. мы же тут не бабки Ванги, чтобы заочно диагноз ставить...
C:\windows\system32\dll32\csrss.exe - почему-то в карантине отсутствует. попробуйте включить в AVZ противодействие руткитам и повторить добавление в карантин.
все файлы empty.pif (в том числе присланный c:\documents and settings\пользователь\Главное меню\программы\автозагрузка\empty.pif) это файлы червя, их нужно удалить.
c:\windows\nvsvc32.exe - KeyLogger Monitor.Win32.WinSpy.k
удаляйте его с диска и из автозагрузки.
c:\autoexec.bat - удаляйте, там только мусор, добавленный червем.
рекомендации по чистке системы такие:
1. удалить (или поставить в отложенное удаление AVZ) все файлы, имена которых я перечислял в предыдущих постах как имена файлов червя
2. удалить все *.exe лежащие в папке вида C:\Documents and Settings\*\Local Settings\Application Data\
3. удалить вышеуказанные файлы
4. через менеджер автозапуска AVZ удалить ссылки на все перечисленные файлы червя.
удалять лучше включив AVZGuard и потом не выключая его уйти на перезагрузку.
после перезагрузки сделать новые логи AVZ и приложить к этой теме.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: