Подозреваю вирус - Страница 3

01pump · 17.09.2009, 18:00

Trion,
Попробуйте утилиткой Cureit http://www.freedrweb.com/download+cureit/ просканировать. По результату отпишитесь.

Trion · 17.09.2009, 18:53

Нашлось 13 инфицированных файлов, все удалены.
Данные после перезагрузки:
Скрипт №2 - http://exfile.ru/60044
Hijackthis - http://exfile.ru/60045

01pump · 17.09.2009, 18:57

Цитата:

Сообщение от Trion

Нашлось 13 инфицированных файлов, все удалены.

В каких именно папках были обнаружены зараженные файлы?

Trion · 17.09.2009, 19:41

К сожалению не сохранил результат(( по памяти:
c:\windows\system32\ - 3шт *.exe
c:\windows\temp\ - 8шт *.tmp (или temp)
вроде бы здесь один:
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5
и еще один не помню

Повторная проверка ничего не дала.
Все цело? или чтото еще не так?

01pump · 17.09.2009, 22:57

Цитата:

Сообщение от Trion

Все цело? или чтото еще не так?

Вам виднее.

Если та гадость не появляется больше значит успешно пролечились.

Trion · 18.09.2009, 17:20

Большое спасибо за помощь, проблема осталась

буду бороться дальше

01pump · 18.09.2009, 17:23

Цитата:

Сообщение от Trion

Большое спасибо за помощь, проблема осталась

буду бороться дальше

Однако.... Именно тот файлик ikowin32.exe всплывает? У вас случайно не со сьемных носителей типа флешки лезет? Может и из локальной сети.

Еще раз выполните стандартный скрипт №2 и пришлите virusinfo_syscheck.zip

Trion · 18.09.2009, 19:31

Да, в автозагрузке продолжает появляться файл ikowin.exe.
Флешкой и другими съемными носителями ближаюшую неделю не пользовался и они не подключены.
Нашел в CCleaner запись в автозагрузке файла braviax, в hijackthis это записи не было.
Также появился новый симптом: каждые минут 10-15 все окна становятся неактивны, если запущено приложение, то оно просто сворачивается.
Прошелся утилиткой от Dr.Web еще раз, нашлось только несколько файлов в c:\windows\temp
Сейчас прошел проверку в Kaspesky Online Scanner, вот отчет - http://exfile.ru/60324
пока файлы не трогал, как их лучше удалить? что делать с svhost.exe?
Скрипт №2 - http://exfile.ru/60325

01pump · 18.09.2009, 19:41

Цитата:

Сообщение от Trion

Сейчас прошел проверку в Kaspesky Online Scanner, вот отчет - http://exfile.ru/60324 пока файлы не трогал, как их лучше удалить? что делать с svhost.exe? Скрипт №2 - http://exfile.ru/60325

C:\Program Files\Trend Micro\HijackThis\backups\backup-20090918-161426-117-ikowin32.exe это бекап Hijackа
svchost пока не трогайте

Выполнить

Цитата:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe');
BC_DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки повторить стандартный скрипт №2 выложить virusinfo_syscheck.zip

Trion · 18.09.2009, 20:01

Готово
Скрипт №2 - http://exfile.ru/60338

01pump · 18.09.2009, 22:25

Хммм... я или чего то недопонимаю..... или пора на пенсию ...
Вот эту версию avz http://narod.ru/disk/12203190000/avz.exe.html скачайте и повторите стандартный скрипт №2 (если возможно то выполнить это в Безопасном режиме)

Цитата:

Нашел в CCleaner запись в автозагрузке файла braviax

Если можно укажите точно что это за запись braviax (сделайте принтскрин)

Trion · 19.09.2009, 04:11

Скрипт №2 - http://exfile.ru/60432 (в Безопасном режиме)
Из CCleaner запись удалил, когда увидел, до этого Dr.Web при проверке удалил файлик braviax.exe. Наверно просто запись на его автозапуск осталась, т.к. в поле файл было пусто. Сейчас ничего нету и не появляется.
Зато остались проблемы и добавляются новые

что-то спамит в сеть на подключение к различным ip.
Поставил firewall, вроде как блочит.
Проверка Dr.Web в безопасном режиме ничего не обнаружила.
Поиски продолжаются

01pump · 19.09.2009, 10:57

Trion,
Не понял.... вы уже успели еще одну гадость подхватить?
В Безопасном режиме выполните следующий скрипт

Цитата:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки в обычном режиме через Панель управления-Установка и удаленеи программ деинсталлируйте Bonjour

Затем там же в обычном режиме выполните во второй версии avz (полиморфной) стандартный скрипт №2 (virusinfo_syscheck.zip)

ps еще мне кажеться что симантек в сговоре

и мешает некоторым операциям avz

Trion · 19.09.2009, 15:18

Скрипт №2 - http://exfile.ru/60455
Возможно и еще одна гадость или это вторая серия началась

Bonjour нету в списке программ. Насколько я знаю это служба Adobe, вероятнее всего установился вместе с photoshop. Папочку то я зачемто снес, наверно надо чистить реестр.
Можно ли както проследить откуда берется файл ikowin32.exe в автозапуске?

ps возможно скоро в сговор войдут и другие группировки, и тогда мафиозный клан одержит победу

01pump · 19.09.2009, 15:41

Trion,
Бонжур он от Apple

В логе не увидел ikowin32.exe Оно еще присутствует?

Вот это выполнить

Цитата:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
DeleteFileMask('%Temp%', '*.*', true);
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
ClearIECache;
ExecuteSysClean;
RebootWindows(true);
end.

При выполнении комп чуток подвиснет минут на 5. Его кнопкой Reset на системнике перезагрузите.
После перезагрузки повторить стандарт скрипт №2 прислать virusinfo_syscheck.zip

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Подозреваю что вирус	labuh	Безопасность	38	19.01.2011 01:46
Странно долго грузит, подозреваю что проблема в железе	aanton	Неисправности, настройка	1	12.01.2011 15:55
Вирус	riddik	Безопасность	16	23.12.2010 16:41
Подозреваю вирус	Макаревич	Безопасность	16	03.10.2010 23:32
подозреваю,что полно вирусов	svetic	Безопасность	5	17.09.2010 18:42
Вирус (реклама) который утверждает что он не вирус и подавляет все действия	Vado	Безопасность	3	13.06.2010 16:40
Лог AVZ на вирус	masc	Безопасность	23	31.12.2009 01:53
Подозреваю вирусы	covobongo	Безопасность	6	26.10.2009 13:41
Вирус ли это?	lebka11	Безопасность	1	17.10.2009 16:26
Вирус или нет?	SeLLer	Безопасность	3	22.06.2009 14:57
Вирус	TheFcn	Безопасность	1	21.06.2009 18:00
Вирус?	Cembalo	Безопасность	1	06.03.2009 19:29

17.09.2009, 18:00	#31 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Trion, Попробуйте утилиткой Cureit http://www.freedrweb.com/download+cureit/ просканировать. По результату отпишитесь.

17.09.2009, 18:53	#32 (ссылка)
Trion Новичок Регистрация: 17.09.2009 Сообщений: 18 Репутация: 0	Нашлось 13 инфицированных файлов, все удалены. Данные после перезагрузки: Скрипт №2 - http://exfile.ru/60044 Hijackthis - http://exfile.ru/60045

17.09.2009, 19:41	#34 (ссылка)
Trion Новичок Регистрация: 17.09.2009 Сообщений: 18 Репутация: 0	К сожалению не сохранил результат(( по памяти: c:\windows\system32\ - 3шт .exe c:\windows\temp\ - 8шт .tmp (или temp) вроде бы здесь один: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 и еще один не помню Повторная проверка ничего не дала. Все цело? или чтото еще не так?

18.09.2009, 17:20	#36 (ссылка)
Trion Новичок Регистрация: 17.09.2009 Сообщений: 18 Репутация: 0	Большое спасибо за помощь, проблема осталась буду бороться дальше

18.09.2009, 19:31	#38 (ссылка)
Trion Новичок Регистрация: 17.09.2009 Сообщений: 18 Репутация: 0	Да, в автозагрузке продолжает появляться файл ikowin.exe. Флешкой и другими съемными носителями ближаюшую неделю не пользовался и они не подключены. Нашел в CCleaner запись в автозагрузке файла braviax, в hijackthis это записи не было. Также появился новый симптом: каждые минут 10-15 все окна становятся неактивны, если запущено приложение, то оно просто сворачивается. Прошелся утилиткой от Dr.Web еще раз, нашлось только несколько файлов в c:\windows\temp Сейчас прошел проверку в Kaspesky Online Scanner, вот отчет - http://exfile.ru/60324 пока файлы не трогал, как их лучше удалить? что делать с svhost.exe? Скрипт №2 - http://exfile.ru/60325

18.09.2009, 20:01	#40 (ссылка)
Trion Новичок Регистрация: 17.09.2009 Сообщений: 18 Репутация: 0	Готово Скрипт №2 - http://exfile.ru/60338

19.09.2009, 04:11	#42 (ссылка)
Trion Новичок Регистрация: 17.09.2009 Сообщений: 18 Репутация: 0	Скрипт №2 - http://exfile.ru/60432 (в Безопасном режиме) Из CCleaner запись удалил, когда увидел, до этого Dr.Web при проверке удалил файлик braviax.exe. Наверно просто запись на его автозапуск осталась, т.к. в поле файл было пусто. Сейчас ничего нету и не появляется. Зато остались проблемы и добавляются новые что-то спамит в сеть на подключение к различным ip. Поставил firewall, вроде как блочит. Проверка Dr.Web в безопасном режиме ничего не обнаружила. Поиски продолжаются

19.09.2009, 15:18	#44 (ссылка)
Trion Новичок Регистрация: 17.09.2009 Сообщений: 18 Репутация: 0	Скрипт №2 - http://exfile.ru/60455 Возможно и еще одна гадость или это вторая серия началась Bonjour нету в списке программ. Насколько я знаю это служба Adobe, вероятнее всего установился вместе с photoshop. Папочку то я зачемто снес, наверно надо чистить реестр. Можно ли както проследить откуда берется файл ikowin32.exe в автозапуске? ps возможно скоро в сговор войдут и другие группировки, и тогда мафиозный клан одержит победу

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads