У девчонки с работы Веб начал при загрузке докладывать о вирусе...
Решила проверить AVZ - свежие базы+проверка всех файлов+эвристика в результате нашла два-три файла прописанные по всему жесткому диску раз двадцать наверное, и с точки зрения АВЗ файлы весьма подозрительные... И при такой проверке вылетает окошко с заголовком
Защита файлов Windows
с сообщением
Выполняется проверка целостности и соответствия исходной версии для защищённых файлов windows
хотела сделать скриншот его, но скрин не сохраняется... Да и при проверке через скрипты АВЗ для раздела помогите такое окошко не вылетает
Запускаю скрипты для этого раздела - но похожих файлов уже не попадается.
Значит так... логи по правилам прикладываю РАЗ, результат проверки (папка виндоуз+проверка всех файлов+эвристика) ДВА и все эти подозрительные файлы из карантина закачиваю куда надо, ТРИ
И жду вашей помощи... ЧЕТЫРЕ
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\csrss.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Выполнила скрипт...
Комп ушёл перегружаться.... после чего загрузился исключительно фон рабочего стола... без иконок и нижней панельки с кнопкой пуск... правда через ctrl+alt+del диспетчер задач открылся... через него ушла опять перегружаться... при новой загрузке эффект тот же. И при попытке найти запуск безопасного режима открывается некий ThinkVantage Rescue center... с первого взгялда безопасный режим там не нашла...
update -
через диспетчер задач добралась до avz - в карантине ничего нового не появилось... запустила проверку - лог прилагаю...
И последнее, при загрузке уже не в первый раз появляются окошки Доктора Веба -
C:\Documents and Settings\Елена\Local Settings\Temporary Internet Files\Content.IE5\GT4LUVW5\file[1].exe - , возможно, инфицирован BACKDOOR.Trojan
C:\Documents and Settings\Елена\1.exe - , возможно, инфицирован BACKDOOR.Trojan
Как всегда, удалила оба...
Последний раз редактировалось ScratchyClaws; 20.12.2006 в 10:09.
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
После загрузки через диспетчер запустите AVZ и выполните Восстановление системы из его меню. Там отметить "Удаление отладчиков системных процессов". После перезагрузки должен появиться рабочий стол.
Можно попробовать запустить \Windows\Explorer.exe через диспетчер сразу после восстановления, я не пробовал - может уже получиться и до перезагрузки.
Все исполняемые файлы в %Userprofile%\Temporary Internet Files\ удалите при закрытом IE (можно прямо директории). Если там будут неудаляемые экзешники - надо будет их удалить через отложенное удаление с очисткой.
То же самое стоит проделать и для директории %userprofile%\Temp. Там тоже не должно остаться ничего исполняемого.
Выполнила, рабочий стол появился и без перезагрузки...
сейчас перегружусь, чтоб убедиться, что теперь всё намально грузиться будет...
Да, кстати, папки почистила... всё, что через Мой Компьютер было видно, удалила
И обещанный карантин от самой первой проверки -
Результат загрузки
Файл сохранён как 061220_022623_virus_4588e59f4d8be.zip
Размер файла 5834488
MD5 b00214f2d1a55b734f3f067bb06d6f85
(2pig arm32.dll там вроде нет, пойду гляну нет ли его на жестком диске)
Последний раз редактировалось ScratchyClaws; 20.12.2006 в 10:31.
Причина: update
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
C:\Documents and Settings\Елена\Local Settings\Temporary Internet Files\Content.IE5\GT4LUVW5\file[1].exe - , возможно, инфицирован BACKDOOR.Trojan
C:\Documents and Settings\Елена\1.exe - , возможно, инфицирован BACKDOOR.Trojan
Как всегда, удалила оба...
"и дорогая не узнает какой у парня был конец" (с)
а как же поделиться файлами для науки?
Эххх... там Веб... его трудно уговорить игнорировать инфицированный файлы... к тому же они при загрузке всегда появлялись... если опять появятся - подарю...
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: