Показано с 1 по 17 из 17.

Постоянно появляющиеся вирусы в папке Temp (заявка № 9457)

  1. #1
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    6
    Вес репутации
    62

    Thumbs up Постоянно появляющиеся вирусы в папке Temp

    Здравствуйте.
    Проблема у меня такая: С некоторого времени в папке C:\Documents and Settings\M@X\Local Settings\Temp начали появляться подозрительные файлы, которые пытались запуститься, но не могли, ругаясь на отсутствие msvcp71.dll Однако я .net framework 3 поставил и эти dll'ки появились. После этого подозрительные приложения (xxx.exe) запускались и висели в памяти загружая систему на 100% (если снять эти процессы, то загрузка системы сразу падала до 2%). Время от времени Dr. Web(ознакомительная версия) обнаруживал в них вирусы, но не всегда! После очистки папки temp, они опять появлялись и запускались через некоторое время (не дожидаясь перезагрузки компьютера) Сначала появлялся файл xxx.exe где xxx произвольный набор букв и цифр. Если Dr. Web его сразу не убивал, то затем появлялся файл yyy.conf, внутри которого была только путь к xxx.exe. Также в папке temp появляется пустая папка WPDNSE. Со временем эти икзишки запускаются. Для мониторинга процессов я пользуюсь Iarsn TaskInfo. Он сказал, что эти процессы подключаются к сайту http://t.zablen.com/zg.php?jejj-1_4788_1984 или http://news.medbod.com и идёт какой-то трафик (могу дать отчёт, логи). Также эта программа показывает, что через некоторое время после запуска эти процессов, запускается IEXPLORE.EXE в скрытом режиме и тоже что-то нехорошее делает.
    Dr. Web иногда выдаёт такие сообщения

    C:\DOCUME~1\M@X\LOCALS~1\Temp\70exssd32a.b.exe - инфицирован Trojan.DownLoader.21795
    C:\DOCUME~1\M@X\LOCALS~1\Temp\5exhdda.9.exe - инфицирован Win32.HLLW.Medbod
    C:\Documents and Settings\All Users\Документы\setup.exe - инфицирован Trojan.DownLoader.21578
    C:\DOCUME~1\M@X\LOCALS~1\Temp\13exinjs.a9.exe - инфицирован Trojan.Proxy.1398
    C:\DOCUME~1\M@X\LOCALS~1\Temp\setup.exe - инфицирован Trojan.DownLoader.21883

    А в последнее время Spybot-S&&D говорит, что я типа хочу закачать "Avenue A, Inc.", которая известна, как опастная. И предлагает её блокировать. Я соглашаюсь. Но всё снова идёт по кругу
    (temp-процесс-вирус-загрузка 100%-Avenue A)

    Где этот вирус прописался, что постоянно закачивается? Уже так он мне надоел . Помогите Plz.

    P.S. при сканировании AVZ я не отключал восстановление сис-мы, потому как не хочу потерять точки восстановления. И ещё: при сканировании процессы вирусов не были запущены.
    P.P.S. Аналогичную проблему я нашёл на http://forum.drweb.com/viewtopic.php?t=4961 Но как её решить?
    Вложения Вложения
    Последний раз редактировалось 4epenOK; 03.05.2007 в 19:44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Если не отключать восстановление, лечится будем мучительно долго.

    А так
    1. Отключиться от сети
    2. Отключить восстановление
    3. Отключить антивирус
    4. В AVZ выполнить скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system\smss.exe','');
    BC_ImportQuarantineList;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки прислать карантин через ссылку вверху темы.
    В тему приложить boot_clr.log из директории AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    в дополнение , удалить папку C:\Program Files\VVSN и все файлы в папке Temp .

  5. #4
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    6
    Вес репутации
    62
    После перезагрузки система долго грузилась и в конце концов говорит "Система восстановленна после серьёзной ошибки"
    Карантин прислал, C:\Program Files\VVSN и все файлы в папке Temp удалил. А вот и лог
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    @4epenOK
    C:\WINDOWS\system\smss.exe по НОД32 Win32/Medbot.IE
    Будем удалять.
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system\smss.exe');
     BC_ImportDeletedList; 
     ExecuteSysClean;  
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     BC_Activate;  
     RebootWindows(true); 
     end.
    После перезагрузки прикрепите файл boot_clr.log из папки AVZ к своему следующему сообщению.
    Цитата Сообщение от PavelA Посмотреть сообщение
    Если не отключать восстановление, лечится будем мучительно долго.
    Цитата Сообщение от drongo Посмотреть сообщение
    в дополнение , удалить ... все файлы в папке Temp .
    А ещё, по-секрету скажу, есть в Винде замечательная рутина, которое и то и другое одним махом делает: cleanmgr. Вызывается она просто: Старт/Выполнить..., напечатать команду cleanmgr и надавить Ввод . Перед этим рекомендуется проделать небольшую операцию в реестре, как здесь написано.
    Ну и напоследок: по желанию удаляются все пункты восстановления, кроме последнего.
    Последний раз редактировалось Rene-gad; 03.05.2007 в 20:44.

  7. #6
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    6
    Вес репутации
    62
    Посмотрел-действительно, оригинальный smss.exe находится в system32. Скрипт выполнил. Перед перезагрузкой Dr. Web успел развернуть окошко о том, что найден вирус, но я прочитать не успел, так как компьютер начал перезагружаться. Однако всё поисчезало (осталось только картинка рабочего стола), горячие клавиши не реагировали, но мышка двигается, хотя и не работает правый клик. В таком состоянии компьютер провисел некоторое время, после чего я не выдержал и вырубил его вручную. После перезагрузки я посмотрел, файл smss.exe был удалён. Хотя в логе почему-то указано обратное
    Вложения Вложения
    Работать и создавать, сражаться и побеждать, расчитывать и не ошибаться,
    бороться и искать, найти и переработать!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    (0xC0000034)- значит он уже был удалён до AVZ , поэтому нечего было авз удалять , вот и написал что не вышло

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от 4epenOK Посмотреть сообщение
    После перезагрузки я посмотрел, файл smss.exe был удалён. Хотя в логе почему-то указано обратное
    Надеюсь, что Вы вылечены. А несоответствие лога и факта могу объяснить только тем , что лог был создан до отключения системы, а файл удалён при её новой загрузке. Если я не прав, прошу скорригировать.
    На всякий случай повторите логи, как в Вашем первом сообщении.
    Последний раз редактировалось Rene-gad; 03.05.2007 в 21:53. Причина: Описка :-)

  10. #9
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    6
    Вес репутации
    62
    Провёл повторное сканирование. Вроде всё чисто. Правда я забыл убить процесс отвечающий, за обновление антивирусных баз (в первом логе), но думаю, что это не страшно. Если за завтрашний день не появится ничего страшного, значит я здоров

    Спасибо всем, кто мне помогал, за оперативную работу.
    Вложения Вложения
    Работать и создавать, сражаться и побеждать, расчитывать и не ошибаться,
    бороться и искать, найти и переработать!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Чисто
    Вы можете помочь и нам и себе на будущее
    http://virusinfo.info/showthread.php?t=3519

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    А несоответствие лога и факта могу объяснить только тем , что лог был создан до отключения системы, а файл удалён при её новой загрузке. Если я не прав, прошу скорригировать.
    Файл был удален командой DeleteFile.
    А лог написан Boot Cleaner'ом, которому уже делать было нечего.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Для памятки , зверя будут звать Trojan-Proxy.Win32.Horst.yc
    Код:
    Hello,
    
    smss.exe_ - Trojan-Proxy.Win32.Horst.yc
    
    New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
    
    Please quote all when answering.
    
    --
    Best regards, Alexander Romanenko
    Virus analyst, Kaspersky Lab.
    e-mail: [email protected]
    http://www.kaspersky.com/
    
    http://www.kaspersky.com/virusscanner - free online virus scanner.
    http://www.kaspersky.com/helpdesk.html - technical support.
    
    
    
    > Attachment: 070503_201927_virus_463a0b8f34136.zip
    
    >  VirusInfo Из темы http://virusinfo.info/showthread.php?t=9457 070503_201927_virus_463a0b8f34136.zip
    >

  14. #13
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    6
    Вес репутации
    62
    Значит этот вирь был новичок
    Прошу прощения, что несколько не по теме: Можно ли без последствий удалить sptd.sys? Daemon Tools и alcohol были удалены уже давно. Сейчас использую Power ISO. Просто мне не понравились строчки AVZ на счёт перехвата чего-то там.
    Работать и создавать, сражаться и побеждать, расчитывать и не ошибаться,
    бороться и искать, найти и переработать!

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Можно ли без последствий удалить sptd.sys?
    Конечно можно.
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\Drivers\sptd.sys');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    После перезагрузки посмотрите удалился он или нет.

  16. #15
    Junior Member Репутация
    Регистрация
    02.05.2007
    Сообщений
    6
    Вес репутации
    62
    Файл был удалён. Но как быть с ключами реестра. Всё что было связано с sptd.sys я удалил, однако некоторые ключи заблокированы от изменений. К тому же в системном журнале появилась запись Тип события: Ошибка Источник события: Service Control Manager Код события: 7026 Описание: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: sptd Что делать?
    Работать и создавать, сражаться и побеждать, расчитывать и не ошибаться,
    бороться и искать, найти и переработать!

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Файл удалился, а "прописка" драйвера в реестре осталась.
    Выполните скрипт:
    Код:
    begin
    BC_DeleteSvc('sptd');
    BC_Activate;
    RebotWindows(true);
    end.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system\\smss.exe - Trojan-Proxy.Win32.Horst.afu (DrWEB: Trojan.DownLoader.21870)


  • Уважаемый(ая) 4epenOK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Gen.2 постоянно находит в папке Temp
      От stbmort в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.04.2012, 13:23
    2. неудаляемые вирусы в папке TEMP
      От webdesigner в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.03.2012, 21:18
    3. Ответов: 8
      Последнее сообщение: 21.02.2011, 16:39
    4. Вирусы в папке Temp
      От annetsss в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.11.2010, 18:16
    5. постоянно появляются exe в папке temp (заявка №37760)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 17.11.2010, 18:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01408 seconds with 18 queries