Подозрение на вирус (на втором компьютере, t = 9756)

**e_aleks** · 19.05.2007, 20:57

В теме http://www.virusinfo.info/showthread.php?t=9756 удалось успешно удалить целый "зоопарк" вирусов на моем компьютере. Сейчас проверил второй компьютер, который соединен внутренней сеткой с моим, доступа в интернет с того компьютера нет.
Подозрение вызывает, что компьютер иногда сам по себе хочет подсоединиться к интернету, а также то, что он очень медленно (на мой взгляд) работает, хотя на нем сейчас максимум, что делают - так это правят word или excel документ. К тому же слишком часто (опять же на мой взгляд) он падает в синий экран.
Логи прикрепил, надеюсь, что на сей раз все сделал правильно - вроде все программы, в том числе и в трее позакрывал.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 19.05.2007, 22:44

Отключите восстановление системы!

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sapfcpl.cpl','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\UniDist.ocx','');
 QuarantineFile('C:\CA_LIC\lic98.dll','');
 QuarantineFile('c:\windows\system32\skeysrvc.exe','');
 DeleteFile('C:\WINDOWS\DOWNLO~1\UniDist.ocx');
ExecuteSysClean;
RebootWindows(false);
end.

После перезагрузки "пофиксите" в HijackThis

Код:

O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/internet-optimizer/080703/UniDistIOcrack.CAB

Пришлите файлы карантина по правилам раздела "Помогите".

**e_aleks** · 20.05.2007, 21:23

Восстановление отключил, скрипты выполнил.
Файл в вирусами выложен:

Код:

Файл сохранён как 070520_212115_virus_2005072125_4650838b33c15.zip
Размер файла 145657
MD5 b75ee218e22910855e0c3da25b6f9a95

Жду дальнейших указаний.

**AndreyKa** · 21.05.2007, 00:17

Что написано в первых 2-х строках на синем экране?
Антивирус Dr.Web на этом компьютере устаревшей версии - пользы от него мало. Если нет интернета, то модуль проверки почты SpIDerMail, совсем не к чему. И не понятно, откуда тогда взялись файлы в папке Downloaded Program Files.
На этом компьютере когда-либо переустанавливали Windows?
При создании логов запускали, как того требуют Правила, браузер?
Файлы, вроде, чистые.

**e_aleks** · 21.05.2007, 00:35

Что написано в первых 2-х строках на синем экране?

Когда она была, я её не записал - запишу, как только снова появится. Пока вопроизвести не удалось.
Вроде, но я не уверен на 100% (могу спутать), написано, что IRQL_NOT_LESS_OR_EQUAL

Антивирус Dr.Web на этом компьютере устаревшей версии - пользы от него мало. Если нет интернета, то модуль проверки почты SpIDerMail, совсем не к чему. И не понятно, откуда тогда взялись файлы в папке Downloaded Program Files

В свое время (год назад) на компьютере был и интернет и почта и все прочее. Потом компьютер стал использоваться большей частью, для работы с word, excel и другими офисными приложениями. Весь инет через мой компьютер, который по сети соединен с тем. Вирусы скорее всего остались с тех времен, либо пришли по сети с моего компа.

На этом компьютере когда-либо переустанавливали Windows?

Последние года дв-три точно нет.

При создании логов запускали, как того требуют Правила, браузер

Скорее да, чем нет. На всякий случай я их пересоздам завтра вечером.

**AndreyKa** · 21.05.2007, 09:37

Пофиксте в HijackThis следующую строку:

O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/internet-...istIOcrack.CAB

Поскольку, интернета на компьютере нет, деинсталируйте программы:
- антивирус DrWeb (файлы, приносимые на компьютер, проверяйте на том компьютере, где базы антивируса обновляются);
- ICQ;
- FlashGet;
Это должно ускорить работу компьютера.

**e_aleks** · 21.05.2007, 21:51

Вроде снес большинство лишних программ. Теперь буду наблюдать за производительностью и системными ошибками - надеюсь, что сейчас ситуация изменится к лучшему.
Новые логи подготовил, теперь уже точно при запущенном IE.

**e_aleks** · 24.05.2007, 23:53

Хотелось бы все-таки уточнить, все ли в порядке в моих последних логах?

**AndreyKa** · 25.05.2007, 00:05

В последних логах признаков активного заражения нет.

**e_aleks** · 25.05.2007, 00:14

Спасибо за помощь в решении проблемы.

**Макcим** · 25.05.2007, 10:10

Советую почитать на досуге вот эту книгу.

Вы можете нас отблагодарить так. Мы будем Вам очень благодарны!
В качестве вариантов ещё почитайте тут и тут.

Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.

Удачи!

**CyberHelper** · 22.02.2009, 01:46

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения вредоносные программы в карантинах не обнаружены

Подозрение на вирус (на втором компьютере, t = 9756) (заявка № 9883)

Опции темы

Подозрение на вирус (на втором компьютере, t = 9756)

Итог лечения

Похожие темы

Еще проблемы с троянами на втором компьютере

вирус на втором компе

z-connect на втором компьютере

Z-connect и другие вирусы на моём втором компьютере

Ваши права в разделе