Показано с 1 по 10 из 10.

Не могу вычистить комп от заразы (заявка № 7043)

  1. #1
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    5
    Вес репутации
    41

    Exclamation Не могу вычистить комп от заразы

    Проблема в следующем.

    Обратил внимание, что комп начал сильно тормозить, решил проверить его с помощью cureit. Он выдал заражение каким-то непонятным Downloader.14272, Downloader.15209 и Trojan.PWS.GoldSpy. Проверил всю систему и вычистил все, что нашел. Тем не менее на второй день опять появилась эта зараза. Занимаюсь чисткой регулярно в течение 10 дней, но успехов никаких. Позавчера поставил Norton Antivirus, обновил базы вирусов, прочистил весь комп. Вчера нужно было на 10 минут отключить Norton'а. Именно в эти 10 минут опять произошло заражение с теми же симптомами.

    Он оставляет следующие следы:

    1. В System32 добавляет файл msvcrl.dll и изменяет sfc_os.dll
    2. Прописывает внутри Iexplorer ссылку на msvcrl.dll, не изменяя размер файлаю
    3. Оставляет следы в Local Settings\Temp, Local Settings\Application Data, Local Settings\Temporary Internet Files\Content.IE5

    virusinfo_syscheck.zip

    virusinfo_syscure.zip

    hijackthis.log

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    AVZ - Файл - Выполнить скрипт:
    Код:
    begin
      QuarantineFile('c:\program files\ic media corp\icm532\launchpad.exe','');
      QuarantineFile('C:\WINDOWS\system32\UAService.exe','');
      QuarantineFile('C:\WINDOWS\system32\msvcrl.dll','');
    end.
    Карантин пришлите в соответствии с Приложением 2, начина с пункта 5.

    Поищите у себя неиспорченный экземпляр sfc_os.dll (возможно, сохранился в dllcache). Если не найдётся - возьмите с другой машины, где система аналогичная. iexplore.exe, насколько я понимаю, надо искать снаружи или на дистрибутивном диске.

  4. #3
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    5
    Вес репутации
    41
    sfc_os.dll я уже несколько раз сам восстанавливал и Iexplorer тоже. Мозоли натер.

    Файлы карантина выслал.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    C:\WINDOWS\system32\msvcrl.dll - Trojan.PWS.GoldSpy

    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\msvcrl.dll');
     ExecuteSysClean;
     RebootWindows(True);
    end.

  6. #5
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    5
    Вес репутации
    41
    Все сделал, но мало надеюсь на успех лечения, так как я подобным образом с помощью cureit и AVZ комп уже раз 20 чистил.

    Подожду повторного появления заразы.

  7. #6
    Geser
    Guest
    Нортон - плохой выбор. Стоит поставить нормальный антивирус и стенку. А кроме того проверить что все записи с правами админа имеют не тривиальные пароли.

  8. #7
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    5
    Вес репутации
    41
    Цитата Сообщение от Geser
    Стоит поставить нормальный антивирус и стенку.
    Какой антивирус нормальный? Касперского терпеть не могу, так как он страшно тормозит комп.
    И еще вопрос, какая стенка лучше всего себя зарекомендовала и где ее скачать?

  9. #8
    Geser
    Guest
    Антивирус НОД, ДрВеб, Битдефендер
    Стенку любую. ХОтя я бы посоветовал КИС6. Не тормозит и всё что нужно внутри.

  10. #9
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    5
    Вес репутации
    41
    Похоже, что проблема решена. Обратил внимание на сообщение на первой странице о массовом заражении серверов ValueHost. Дело в том, что там находится мой сайт, и мне приходится заглядывать на него через день. Сразу после прочтения этого сообщения заглянул на свой сайт и моментально был заражен той же самой гадостью. Прямо на моих глазах в System32 появились файлы msvcrl.dll и sfc_os.dll. Затем был изменен файл Iexplorer.exe. Восстановил их и повторно зашел на сайт - все повторилось.

    Пришлось подготовить и разместить простенький idndex.htm, в котором нет ни графики, ни вызовов никаких скриптов, и сообщить всем посетителям сайта за прошедший месяц, чтобы они проверились на заразу.

    Интересно то, что первую атаку на сайт я обнаружил еще 5 ноября, когда индексный файл вдруг обнулился. Сразу сообщил в ValueHost, но они отделались простой отговоркой, что возможно это была атака. Я об этом и сам без их помощи догадался. Затем мне сообщили посетители сайта, что по-видимому изменены некоторые html-файлы, так как грузится всякая хрень. Вновь зашел по ftp на сайт и отыскал на нем все измененные html-файлы и восстановил их. Опять сообщил об этом в ValueHost, но они опять отделались отговоркой о хакерской атаке и просто дали мне логи. Теперь вот оказывается, что дело гораздо серьезнее. За прошедший месяц только на мой сайт заглянуло около 6000 человек. Полагаю, что многие из них подцепили заразу.

    Я за четыре года уже намучился с этим ValueHost и со следующей осени буду искать других.

  11. #10
    Geser
    Guest
    А что бы не хватать всякую дрянь через браузер есть моя старая статья http://virusinfo.info/showthread.php?t=2852 Жаль мало кто использует. Работает у меня несколько лет, и в фирме нашей админы то же стелали на всех компах по моему совету. Теперь почти нет заражений.

  • Уважаемый(ая) vovan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. доотчистить от заразы nissan.exe
      От Abyhan в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.04.2010, 22:47
    2. Помогите вычистить комп от заразы!
      От Вдадимир в разделе Помогите!
      Ответов: 91
      Последнее сообщение: 06.01.2010, 03:55
    3. Не могу очистить комп
      От vulture в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.09.2009, 16:56
    4. Не могу вычистить комп
      От mike-d в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.07.2009, 07:11
    5. Ответов: 6
      Последнее сообщение: 22.02.2009, 02:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00363 seconds with 17 queries