-
Junior Member
- Вес репутации
- 53
Появляются файлы khq, khs, cwwykc.exe и т.д.
Помогите пожалуйста !
Месяца 2 назад начали появляться в одних и тех же папках файлы без расширения khq, khs, khw. Пролечишь Касперский, а они опять лезут. Переустановил систему. Через месяц опять. Сейчас в третий раз, и к ним в компанию пришли cwwykc.exe//script.au3 , nroyhy.exe , qycktf.exe и др. Видать у меня дистрибы какие-то заражены.
Сканирование Касперским 2010 ни к чему не приводит. AVZ тоже избавить не может. Делал проверку сканером др. ВЭБа.
Помогите !
С уважением Сергей.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте, Сергей!
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
DeleteFilemask('C:\Documents and Settings\Admin.MICROSOF-5AD750\Local Settings\Temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог MBAM и Gmer
-
-
Junior Member
- Вес репутации
- 53
Добрый день. Прошу продолжить помогать.
удалял несколько раз D:\autorun.inf
C:\Documents and Settings\Admin.MICROSOF-5AD750\Local Settings\Temp
и
c:\Documents and Settings\Admin.MICROSOF-5AD750\Local Settings\Temporary Internet Files\
очищал неоднократно.
Отключил вчера восстановление винды, но в папке c:\System Volume Information\ лежал файл ISwift3.dat, удалял 2 раза его через unlocker не понял кто его держит SYSTEM, а что за процесс не увидел. Утром удалил. Поставил сканироваться систему MBAM пока не появился. Вот после перезагрузки сейчас обявился вновь ISwift3.dat
Диск D опять полон
d:\khq
d:\khs
d:\kht
d:\khu
d:\khw
d:\ybxpdh.exe
d:\autorun.inf
Высылаю запрошенные логи MBAM и Gmer.
Последний раз редактировалось Sersn; 19.02.2010 в 19:43.
Причина: грамматические ошибки
-
Junior Member
- Вес репутации
- 53
ААА !! их все больше !!
Каспер: Вылечено вирус Virus.Win32.Tenga.a D:\atemp\WindowsSearch-KB940157-XP-x86-rus.exe
Это была фича desktop search с майкрософта стянутая давно.
-
У вас файловый вирус.
На здоровом компьютере скачайте Dr.Web LiveCD отсюда:
http://www.freedrweb.com/livecd/
и Kaspersky Virus Removal Tool отсюда:
http://avptool.virusinfo.info/
Запишите образом Dr.Web LiveCD диск CD-RW (например в Nero burning Rom - меню "Рекордер" - "Записать образ").
Загрузите больной компьютер с подготовленоого Dr.Web LiveCD и просканируйте им все диски.
Все что найдется - "лечить", что не лечится - "удалить". Флешку на время сканирования не удаляйте. По окончании сканирования загрузитесь в безопасном режиме и просканируйте все диски Kaspersky Virus Removal Tool.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Последний раз редактировалось Nikkollo; 19.02.2010 в 21:16.
-
-
Junior Member
- Вес репутации
- 53
Ок. Понял , как и что делать знаю. Пошел на здоровый компьютер в зал. Выполню, отпишусь. Логи приложу.
-
Junior Member
- Вес репутации
- 53
shapel, Nikkollo, Спасибо за оказанную помощь. 1 Тб сканировал 2 дня. Поудалялось все из дистрибов. К сожалению потом другая напасть появилась, инет не работал, точнее сеть. Я AVZ все восстанавливал, лечил. Не помогло. Снес винду.... Пока я до ПИНГОв маршрутизатора не добрался, и не увидел потери 75-100% и не поставил сетевуху отдельную, не заработало. Жалко виндовс убитый. Теперь уж можно тему закрыть. Буду сейчас читать и выполнять правила чтобы не подхватить в следующий раз заразу. Тему придется закрыть.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- d:\autorun.inf - Trojan.Win32.AutoRun.aan
-