-
Junior Member
- Вес репутации
- 51
Постоянно что-то пересылается через интернет.
Здравствуйте.
У меня такая беда - как-то жена принесла домой флешку со своими материалами, воткнула в компьютер, просканировала с помощью Norton Antivirus (который ничего подозрительного не выявил), и с тех пор понеслася...
Поначалу на флешке (и на дисках компьютера) создавалась скрытая папка Docs, в которой присутствовали 2 файла: print.exe и ещё какой-то, не помню. Так же в корне диска появлялся файл autorun.inf, удалить который не представлялось возможным. При сканировании системы обновлённым до вчерашего дня антивирусом Norton Antivirus 2003 ничего подозрительного не находилось. По вашим рекомендациям скачал Dr. Web Cureit, который в безопасном режиме нашёл 56 (!!!) инфицированных файлов. Как я понял, заражён мой компьютер вирусом BackDoor.Siggen.14353. Правда, до конца процесс я так и не довёл, так как на папке system32/drivers утилита резко сбавила скорость, и за 2 часа успела проверить только 4 файла.
Затем просканировал утилитой avz и Hijack. Логи прилагаю.
Проблема в том, что, вот например сейчас я пишу это сообщение, а у меня интернет используется, хотя ничего, что могло бы есть траффик не запущенно. И так постоянно - ничего не запущенно, а нет работает.
Очень прошу помочь.
Спасибо заранее.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rw86i83u8.exe','');
QuarantineFile('C:\WINDOWS\system32\g3iiduupggb.exe','');
QuarantineFile('C:\WINDOWS\system32\arw86i83.exe','');
QuarantineFile('C:\WINDOWS\system32\6mm6yy6.exe','');
DeleteFile('C:\WINDOWS\system32\6mm6yy6.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lgccxo');
DeleteFile('C:\WINDOWS\system32\arw86i83.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qqwxdn');
DeleteFile('C:\WINDOWS\system32\g3iiduupggb.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','njee6');
DeleteFile('C:\WINDOWS\system32\rw86i83u8.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nno6e');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Спасибо за столь быстрый ответ.
Сделал, как вы сказали. Файлы выложил.
P.S. Скажите, доктор, пациент будет жить?))
-
В логах чисто.
Осталось обновить систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.3 или удалите старый.
после обновления понаблюдайте за работой.
-
-
Junior Member
- Вес репутации
- 51
Спасибо. Сейчас закачаю всё рекомендованное вами. О результатах сообщу.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-