Irbis73 1 Опубликовано 7 апреля, 2010 Share Опубликовано 7 апреля, 2010 Добрый день! Компьютер подвисает при загрузке, решил проверить на вирусы и получил следующие. C:\Documents and Settings\l.bodrodinova\Local Settings\Application Data\Yandex\Яндекс.Фотки\help.chm/{CHM}//htm2chm_3_0_9_3.exe >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла Файл успешно помещен в карантин (C:\DOCUME~1\LE0C7~1.BOD\LOCALS~1\Temp\avz_2928_1.tmp) Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60720.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60721.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60722.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60723.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60724.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60725.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60726.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60727.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60728.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60729.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60730.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60731.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60733.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60734.tmp Прямое чтение C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\jar_cache60735.tmp C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DF6A62.tmp >>> подозрение на Worm.Win32.AutoRun.frp ( 08FE9376 00000000 0025F30A 00286875 16384) Файл успешно помещен в карантин (C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DF6A62.tmp) C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DFF27E.tmp >>> подозрение на Backdoor.Win32.Rbot.tbl ( 08FE9376 00000000 0008F077 0009A322 16384) Файл успешно помещен в карантин (C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DFF27E.tmp) 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\WINDOWS\system32\HideAgent.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\HideAgent.dll>>> Поведенческий анализ 1. Реагирует на события: клавиатура, мышь C:\WINDOWS\system32\HideAgent.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши Файл успешно помещен в карантин (C:\WINDOWS\system32\HideAgent.dll) На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll" Также на этом компьютере были обнаружены изменения в параметрах загрузки проводника, которые были успешно исправлены с помощью AVZ. Что следует сделать? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на сообщение Поделиться на другие сайты
snifer67 88 Опубликовано 7 апреля, 2010 Share Опубликовано 7 апреля, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\csrss_tc.exe',''); DeleteFile('C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DFF27E.tmp'); DeleteFile('C:\Documents and Settings\l.bodrodinova\Local Settings\Temp\~DF6A62.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме. Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 8 апреля, 2010 Автор Share Опубликовано 8 апреля, 2010 Выполнил предложенный скрипт и скрипт сбора информации. Лог приложен. virusinfo_syscheck.zip Ссылка на сообщение Поделиться на другие сайты
snifer67 88 Опубликовано 8 апреля, 2010 Share Опубликовано 8 апреля, 2010 Чисто.Что с проблемой? Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 9 апреля, 2010 Автор Share Опубликовано 9 апреля, 2010 И вчера до выполнения присланного скрипта и сегодня ПК загружается без зависаний. Спасибо! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти