-
Junior Member
- Вес репутации
- 53
Win32\HLLW.Shwabra и ещё что-то
Вот этой гадостю заражены некоторые экзешки на моём компютере.
Никак пока себя не проявляет.вот ссылка на вирустотал http://www.virustotal.com/ru/analisis/2c9ccdbb31acb3a69094ef5f4548b96463ea2c91f4bbec12be 7d31bb8170df7c-1258127466
Так же есть какойто неизвестный вирус который проявляет себя так:
Стартует как мне кажется при начале установки програмы и при ребуте виндовса(в автозагрузке нет, в реестре только один ключ с параметром "Shell" и значение "explorer.exe C:\WINDOWS\svc32.exe" который удаляю, а он опять после запуска этой гадости создается!), создает в папке тмп папки агава, агава инту и начинает паковать эти файлы в папку C:\Windows\IWeb в архыви с одинаковым содержанием но разными именами(так же создает файл svc32 в директории виндовса) если удалить файл svc32 паковать перестает. Иногда таких архивов наштамповывает на 7 гб. Другого вреда не замечено. При посылке папки агава на вирус инфо никаких вирусов не находит. А вот ещё что ещё в папке C:\Documents and Settings\MASter-UA появляеться svc32.exe.exe с роозмером инсталяшки програмы которая была последней запущена.
Заранее спасибо и извините за грамотность, я - украинец.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Обновите базы AVZ (файл - обновление баз)
2. Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\svc32.exe
3. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\svc32.exe','');
QuarantineFile('I:\Setup.exe','');
QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
DeleteFile('C:\WINDOWS\mslsrv32.exe');
DeleteFile('I:\Setup.exe');
DeleteFile('C:\WINDOWS\svc32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zzzHPSETUP');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
-
1. Обновите базы AVZ (файл - обновление баз)
Игнорируете? ОК...
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Venus Doom
Игнорируете? ОК...
ой извите просто по привычке запустил не только что скачаную версию, а старую!
Сообщение от
Venus Doom
Что с проблемой?
свц32 осталось,
а нащёт швабры - пропала!
-
Это и есть "швабра"...
Обновите базы и сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Venus Doom
Это и есть "швабра"...
Обновите базы и сделайте новые логи
не знал исправлюсь, базы обновил щас пришлю логи. Я имел в виду что доктор веб больше не ругается на екзешки!
Последний раз редактировалось MASter-UA; 13.11.2009 в 22:06.
Причина: добавил логи!
-
Junior Member
- Вес репутации
- 53
Сообщение от
Venus Doom
Это и есть "швабра"...
Обновите базы и сделайте новые логи
логи прикрепил выше
-
Это нужно пофиксить:
Код:
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\svc32.exe
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\svc32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Сделайте новый лог hijackthis и virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
швабра так и создает файлы!
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\svc32.exe - HEUR:Worm.Win32.Generic ( DrWEB: Win32.HLLW.Shvabra, BitDefender: Worm.Generic.74127, NOD32: Win32/Delf.NFV worm, AVAST4: Win32:Rootkit-gen [Rtk] )
-