Вирус после скачивания и установки игры [OK]

[Зурзмансор]

подозрение на вирус. абсолютно все программы сворачиваются в трей. началось сегодня, после скачивания и установки игры Баттлфиелд Героес.

Вот логи:

(если это не лечиться убью сына)

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[ТроПа]

Зурзмансор, приветствую Вас на форуме.

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

 

C:\WINDOWS\system32\xwr93803.dll - проверьте на http://www.virustotal.com и дайте ссылку на результат проверки.

[ROME'D'ROS]

(если это не лечиться убью сына)

Можно просто нашлепать так сказать)) или запрет за комп. на время.

 

Сообщение от модератора ТроПа

Давайте пока воздержимся от подобных комментариев

[thyrex]

+ к совету ТроПа

 

Если при проверке C:\WINDOWS\system32\xwr93803.dll будет сообщение, что файл уже проверялся, проведите проверку заново

 

Пока такой детект http://www.virustotal.com/analisis/67c53ff...f1cb-1246217952

За месяц многое могло измениться

[Зурзмансор]

подскажите ещё, куда сохранился лог от второй программы. немогу найти. спасибо.

 

C:\WINDOWS\system32\xwr93803.dll

подскажите ещё, как найти этот файл? Поиск результатов не дал.

 

 

п.с.

Пока такой детект http://www.virustotal.com/analisis/67c53ff...f1cb-1246217952

всё очень грустно, но что мне с этим делать?

ComboFix.txt

Изменено 27 июля, 2009 пользователем Зурзмансор

[ТроПа]

АВЗ-сервис файлов на диске, введите xwr93803.dll

 

А что проводником стандартным не показывает этот файл?

 

f:\оформление\КУРсорЫ\Stardock\CursorFX\CursorFX.exe - давно это утсановлено?

[Зурзмансор]

f:\оформление\КУРсорЫ\Stardock\CursorFX\CursorFX.exe - давно это утсановлено?

около года....

А что проводником стандартным не показывает этот файл?

старт- поиск- найти- поиск результата не дал

 

поиск через АВЗ:

Поиск файлов по маске xwr93803.dll

Поиск файлов завершен

Просмотрено 50308, найдено 0

Изменено 27 июля, 2009 пользователем Зурзмансор

[thyrex]

Проверьте в реестре в ветке

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение)

 

А также в ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

параметр "CheckedValue" тоже должен быть "1"

 

Невидимый файл появился?

[Зурзмансор]

Проверьте в реестре в ветке

простите, но непонимаю.... можно както попроще?

[thyrex]

Пуск - Выполнить - regedit

 

Щелкая по "+" добираетесь в указанную Вам ветку

В правой части окна поищите указанные параметры и сравните с указанным Вам верным значением.

Если отличается, то щелкаете правой кнопкой мыши по параметру и выбираете "Изменить"

Подтверждаете изменения

[Зурзмансор]

Поиск файлов по маске xwr93803.dll

Поиск файлов завершен

Просмотрено 50321, найдено 0

 

 

всё выполнил, как было указано. значения поменял в ветках. поиск результата не дал.

интернет сейчас отключится, спасибо за помощь. как я понимаю- проблема не решена, тогда продолжу завтра.

Изменено 27 июля, 2009 пользователем Зурзмансор

[thyrex]

Попробуйте так

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\xwr93803.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Если quarantine.zip из папки AVZ окажется не пустым, отправьте этот файл на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Можете дополнительно отправить на thyrex2002@tut.by

Изменено 27 июля, 2009 пользователем thyrex

[Зурзмансор]

Если quarantine.zip из папки AVZ окажется не пустым, отправьте этот файл на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

скрипт выполнил,но указанный архив пуст, к сожалению или к радости.

[akoK]

c:\windows\system32\xwr93803.dll - удален Combofix

[Зурзмансор]

c:\windows\system32\xwr93803.dll - удален Combofix

вот пока что ни одна программа не свернулась ни разу, однако, я так понимаю, это не значит, что проблема решена?

 

может стоит повторить всё заново?

 

вобщем- сделал всё поновой. просто переустановить систему нет ни возможности, ни желания. Виндоуз уехал вместе с подругой в командировку, да и слишком много ценного есть в компьютере.

 

появилась проблема с выходом в интернет. соединение происходит с пятого/шестого раза. также в папках Даонлоад возникли непонятные файлы Thumbs, в другой папке обнаружился ярлык козины, с длинным названием, состоящим из серии цифр.

 

 

 

??

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 28 июля, 2009 пользователем Зурзмансор