Перейти к содержанию
chief

Не поймать вирус, помогите!

Recommended Posts

chief

Уважаемые Эксперты!

Ситуация такая: сидит какая-то пакость у меня на компе, никак не выловить.

NOD32 последняя версия, со всеми обновлениями, говорит что все чисто.

Но стоит мне выйти в Инет, как в папке system32 появляются файлы, типа: Isass.exe, winamp.exe, iexplore.exe, firewall.exe и подобные названия (каждый раз новое). После чего начинается "торможение", комп может зависнуть.

Никак от этого не избавиться! Что посоветуете?

У меня WindowsXP.

С уважением,

Александр

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Ну если nod32 ничего не находит, то наверное уже все, никак, без шансов. даже Касперским проверять бесполезно ...

гы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chief

гы то оно гы.

Вот я пытаюсь установить Касперский, и он мне говорит, что чтобы установить Касперский, надо сносить NOD32.

И что мне делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
гы то оно гы.

Вот я пытаюсь установить Касперский, и он мне говорит, что чтобы установить Касперский, надо сносить NOD32.

И что мне делать?

попробовать проверить эти файлы в онлайн-проверке на сайте Касперского для начала.

Если детектит, тогда сносить нод и ставить самизнаетекого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

chief

Проверка с возможность лечения от Trend Micro

http://uk.trendmicro-europe.com/housecall/v6.5/?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chief

Ego1st, выполнил предлагаемую процедуру.

Утилита CureIt ничего не нашла.

Логи AVZ и hijackthis прилагаю.

Надеюсь на помощь.

hijackthis.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Phoenix

Проверь на VirusTotal.com файлы:

C:WINDOWSSystem32spooIsv.exe

C:WINDOWSSystem32Isass.exe

что найдет вирус, тем и лечить :)

(маскировка под системные процессы путем замены буквы l на I)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

C:Program FilesCommon FilesWindowsmc-110-12-0000247.exe

C:WINDOWSSystem32Isass.exe

C:WINDOWSSystem32awvvw.dll

C:WINDOWSSystem32ddayw.dll

C:WINDOWSSystem32jkhfd.dll

C:WINDOWSSystem32spooIsv.exe

C:WINDOWSSystem32sstqq.dll

C:WINDOWSSystem32ssttt.dll

вот это всё почему в автозагрузке висит, это ненормально, стоит проверить походу гадость какая-то..

возможно нормальные файлы, но тоже стоит проверить

C:WINDOWSSystem32v4mon.dll

C:WINDOWSSystem32vdm32.dll

C:WINDOWSSystem32xvd32.dll

у меня таких точно нет файлов..

в реестре ещё такие ссылки есть

firewall32.exe

mswindtc.exe - сьранные файлы, я что-то такие не встречал тоже бы проверить.. Особенно mswindtc.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chief

Ego1st, это все я поудалял, только оно опять по новой скачивается.

Я продрал весь комп касперским, выловил 44 подозрительных файла и удалил

Только после перезагрузки всё то же самое. Комп виснет, даже диспетчер задач не запускается.

Еле-еле это сообщение написал...

Что делать не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

посмотрите что вам на www.virusinfo.info написали..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

chief проверьте подозрительные файлы, указанные Phoenix и Ego1ist on-line сканером и, если они не пределяются NOD 32 как опасные объекты, отправьте их на исследование в вирусную лабораторию Eset. Свяжитесь также со службой технической поддержки Eset и обрисуйте им ситуацию.

Можно также воспользоваться услугами сайта virusinfo.info. Как правило там достаточно оперативно и квалифицированно подходят к решению подобных проблем.

Желаю удачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Там список конкретный, файлов 20 и в реестре ключей столько же (вообщем зверинец ещё тот)..

P.S. помните один из первых моих постов (хотя врятли, я писал о том что помощь тут не нужна), так вот как продолжение той темы, и показатель кроме меня и Phoenix почти никто ничего не сказал, вот и вывод нету тут смысла в помощи!

Извиняюсь если обидел кого, потому что не хотел никого обидеть, но вы сами посмотрите, так получилось!

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
P.S. помните один из первых моих постов (хотя врятли, я писал о том что помощь тут не нужна), так вот как продолжение той темы, и показатель кроме меня и Phoenix почти никто ничего не сказал, вот и вывод нету тут смысла в помощи!

А что тут говорить? Подозрительные файлы Вы определили. Возражений никаких нет. Подробно ситуацию я изучать не стал, и вместо этого отправил "потерпевшего" туда где ему быстро и эффективно окажут помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Проблема решена, разве нет?

Потом если направление помощи тут у нас не развивать, то его и не будет никогда. По немногу нужно поднимать этот раздел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Нет ещё нерешена..

Возможно и стоит развивать раздел, просто мне понравился ответ А.=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

Ego1st

Я бы порекомендовал прибить все подозрительные процессы

+посмотреть с помощью утилиты Марка Руссиновича AutoRuns

(отключив показ вендора Microsoft) - ну очень удобно ей смотреть!!!

у меня один раз была проблема DLL прикреплена экстеншеном к процессу Explorer. Когда он стартовал (при каждой загрузке компа)

дропался exe файл который детектился KAV'ом, а DLL та нет...

вот я тоже сначала не понимал откуда машина заражается после загрузки сразу. позже KAV и DLL ту начала детектить, но эту уже было потом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Вы мне посоветовали бы? Интересненько как=))

AutoRuns хрен убьёт руткит нормальный..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

Ego1st

ну я же не в курсе руткит или нет. против руткитов свои способы.

ещё FileMon/RegMon хорошие инструменты...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Sergey Dindikov мне ненадо советовать, кого чем удалять, а FileMon/RegMon это мне тоже известно и довольно давно..))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
    • santy
    • santy
      можно, но только через контекстное меню.  а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click, так что не факт что это будет проще и быстрее. вообщем рационализация спорная, имхо. можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.  
    • PR55.RP55
      Дело то не в этом. Дело в наличие команды:  " Удалить только сам файл" в меню Инфо. значит отдавать команды через меню Инфо. можно. ( Для системных файлов так ,или иначе уже реализована защита ссылок от удаления. ) Вернёмся к теме: " alamor пишет: неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. "  
×