-
Junior Member
- Вес репутации
- 53
вирус!!! Помогите.
1. Диски открываются в новых окнах
2. Не применяются изменения просмотра скрытых/системных файлов
3. В IE пытается внедрится какой-то процесс:
обнаружено: потенциально опасное ПО Invader (loader) Процесс: C:\WINDOWS\Explorer.EXE
4. Какие-то процессы пытаются получить доступ к Касперу... PID разные:
26.01.2010 15:52:19 Попытка процесса с PID 1196 получения доступа к процессу Антивирус Касперского с PID 408 была заблокирована. Это результат срабатывания механизма самозащиты.
26.01.2010 15:59:35 Попытка процесса с PID 1580 получения доступа к процессу Антивирус Касперского с PID 408 была заблокирована. Это результат срабатывания механизма самозащиты.
5. При проверке каспером мигают ярлыки на рабочем столе.
6. При открытии странички сначала тупит, а потом быстро открывает.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Пытается внедриться вот эта зараза:
Внедряемый модуль:
C:\DOCUME~1\Gesser\LOCALS~1\Temp\cvasds0.dll
ID процесса (PID): 1028
Размер: 90,5 КБ
Создан: 27.01.2010 15:26:48
Изменен: 28.01.2010 13:27:40
Дочерние процессы:
C:\Documents and Settings\Gesser\Рабочий стол\Virus Removal Tool\setup_9.0.0.722_26.01.2010_20-25\startup.exe 1152 "C:\Documents and Settings\Gesser\Рабочий стол\Virus Removal Tool\setup_9.0.0.722_26.01.2010_20-25\startup.exe" "C:\Documents and Settings\Gesser\Рабочий стол\Virus Removal Tool\setup_9.0.0.722_26.01.2010_20-25\setup_9.0.0.722_26.01.2010_20-25.exe" -gui -bl
C:\Documents and Settings\Gesser\Local Settings\Temp\herss.exe 788 "C:\DOCUME~1\Gesser\LOCALS~1\Temp\herss.exe"
C:\Program Files\Messenger\msmsgs.exe 592 "C:\Program Files\Messenger\msmsgs.exe" /background
C:\WINDOWS\system32\ctfmon.exe 1388 "C:\WINDOWS\system32\ctfmon.exe"
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe 1064 "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe 452 "C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" TRAY
C:\WINDOWS\system32\igfxpers.exe 1340 "C:\WINDOWS\system32\igfxpers.exe"
C:\WINDOWS\system32\hkcmd.exe 372 "C:\WINDOWS\system32\hkcmd.exe"
C:\WINDOWS\system32\igfxtray.exe 1984 "C:\WINDOWS\system32\igfxtray.exe"
C:\WINDOWS\system32\verclsid.exe 1736 /S /C {2559A1F5-21D7-11D4-BDAF-00C04F60B9F0} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
C:\WINDOWS\system32\verclsid.exe 1896 /S /C {2559A1F4-21D7-11D4-BDAF-00C04F60B9F0} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
-
Какой-то из дисков - флэшка. Не вынимайте её!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\df.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('E:\df.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\df.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\df.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\Gesser\LOCALS~1\Temp\herss.exe','');
QuarantineFile('C:\DOCUME~1\Gesser\LOCALS~1\Temp\cvasds0.dll','');
DeleteFile('C:\DOCUME~1\Gesser\LOCALS~1\Temp\cvasds0.dll');
DeleteFile('C:\DOCUME~1\Gesser\LOCALS~1\Temp\herss.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\df.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\df.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\df.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\df.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cdoosoft');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам - virusinfo_syscheck.zip и hijackthis.log
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Карантин опять не отправляется
Отправлю с другого ПК позже.
-
В логах чисто.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!!!), также обновите Internet Explorer до 8 версии
-
-
Junior Member
- Вес репутации
- 53
Карантин сбросил.
Результат загрузки Файл сохранён как 100128_184431_virus_4b61b0dfbaa93.zip
Размер файла 564042
MD5 e45f70c2eeac0038a1fe2c537df2488c
Файл закачан, спасибо!
-
Junior Member
- Вес репутации
- 53
Настройки отображения скрытых/системных файлов так и продолжают сбрасываться... что делать?
И... подскажите, как установить ServicePack3?
-
Junior Member
- Вес репутации
- 53
Я прошу прощение, вот эти файлы точно не гадость какая-то?
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
При попытке внедреня в IE они принимали участие.
-
Сообщение от
Gesserok
как установить ServicePack3?
http://www.microsoft.com/downloads/d...8-1e1555d4f3d4
Сообщение от
Gesserok
эти файлы точно не гадость какая-то?
Первые два от системы, остальные от интеловского видеодрайвера.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\autorun.inf - Trojan.Win32.AutoRun.zb ( NOD32: INF/Autorun virus )
- c:\df.exe - Trojan-GameThief.Win32.OnLineGames.vzww ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.PWS.OnlineGames.KDDG, AVAST4: Win32:Malware-gen )
- c:\docume~1\gesser\locals~1\temp\cvasds0.dll - Trojan-GameThief.Win32.Magania.ctsd ( AVAST4: Win32:Malware-gen )
- c:\docume~1\gesser\locals~1\temp\herss.exe - Trojan-GameThief.Win32.OnLineGames.vzww ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.PWS.OnlineGames.KDDG, AVAST4: Win32:Malware-gen )
- d:\autorun.inf - Trojan.Win32.AutoRun.zb ( NOD32: INF/Autorun virus )
- d:\df.exe - Trojan-GameThief.Win32.OnLineGames.vzww ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.PWS.OnlineGames.KDDG, AVAST4: Win32:Malware-gen )
- e:\autorun.inf - Trojan.Win32.AutoRun.zb ( NOD32: INF/Autorun virus )
- e:\df.exe - Trojan-GameThief.Win32.OnLineGames.vzww ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.PWS.OnlineGames.KDDG, AVAST4: Win32:Malware-gen )
- g:\autorun.inf - Trojan.Win32.AutoRun.zb ( NOD32: INF/Autorun virus )
- g:\df.exe - Trojan-GameThief.Win32.OnLineGames.vzww ( DrWEB: Trojan.PWS.Wsgame.12661, BitDefender: Trojan.PWS.OnlineGames.KDDG, AVAST4: Win32:Malware-gen )
-