Цепляю с форума вирусы?

[градус]

Скачал свежий CureIt и AVZ, в безопасном режиме отсканировал весь комп на три ряда. Зашел на НД с Весвало итог внизу?

update[1].gif C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\OD270H2R Trojan.MulDrop.18195 Удален.
05[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\OD270H2R Trojan.PWS.Gamania.17197 Удален.
09[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\OD270H2R Trojan.PWS.Gamania.17197 Удален.
13[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\OD270H2R Trojan.PWS.Gamania.17197 Удален.
17[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\OD270H2R Trojan.PWS.Gamania.17197 Удален.
21[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\OD270H2R Trojan.PWS.Gamania.17197 Удален.
25[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\OD270H2R Trojan.PWS.Gamania.17197 Удален.
02[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\Z4XNHCB0 Trojan.PWS.Gamania.17197 Удален.
06[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\Z4XNHCB0 Trojan.PWS.Gamania.17197 Удален.
10[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\Z4XNHCB0 Trojan.PWS.Gamania.17197 Удален.
14[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\Z4XNHCB0 Trojan.PWS.Gamania.17197 Удален.
18[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\Z4XNHCB0 Trojan.PWS.Gamania.17197 Удален.
22[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\Z4XNHCB0 Trojan.PWS.Gamania.17197 Удален.
26[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\Z4XNHCB0 Trojan.PWS.Wow.1195 Удален.
30[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\Z4XNHCB0 Возможно, DLOADER.Trojan
04[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KH6VO5QJ Trojan.PWS.Gamania.17197 Удален.
08[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KH6VO5QJ Trojan.PWS.Gamania.17197 Удален.
12[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KH6VO5QJ Trojan.PWS.Gamania.17197 Удален.
16[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KH6VO5QJ Trojan.PWS.Gamania.17197 Удален.
20[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KH6VO5QJ Trojan.PWS.Gamania.17197 Удален.
24[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\KH6VO5QJ Trojan.PWS.Gamania.17197 Удален.
adsup[1].dll C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\GTSTGZUZ Trojan.DownLoader.62110 Удален.
01[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\GTSTGZUZ Trojan.PWS.Gamania.17197 Удален.
03[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\GTSTGZUZ Trojan.PWS.Gamania.17197 Удален.
07[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\GTSTGZUZ Trojan.PWS.Gamania.17197 Удален.
11[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\GTSTGZUZ Trojan.PWS.Gamania.17197 Удален.
15[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\GTSTGZUZ Trojan.MulDrop.29363 Удален.
19[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\GTSTGZUZ Trojan.PWS.Gamania.17197 Удален.
23[1].exe C:&#092ocuments and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\GTSTGZUZ Trojan.PWS.Gamania.17197 Удален.



ПС Блин,
* Оперативная память
* Загрузочные секторы всех дисков
* Объекты автозапуска
* Корневой каталог загрузочного диска
* Корневой каталог диска установки Windows
* Системный каталог Windows
* Папка Мои Документы
* Временный каталог системы
* Временный каталог пользователя

Всего 83 объекта инфицировано

 

[Весельчак]

Не находишь странным, что проблема только у тебя?
Сканить машину "изнутри" почти всегда бесполезно. Если болячка приелась - хрен так выдернешь.
Надо снимать винт, цеплять к другому компу и сканить. Желательно Каспом или Нодом. Вероятность излечения близка к 100%.
НО очень может быть, что у тебя настройки сети, локальной политики безопасности и служб такие "дырявые", что зараза снова прилипнет.

 

[Nell]

Кстати у меня то ж самое было. Хлопала глазами перед шефом 😄

 

[градус]

Желательно Каспом

Так AVZ под каспером сейчас.

Зачем с другого компа? Сейчас нарежу загрузочник из образа с Доктором вебом, и посмотрю, что будет.

 

[Весельчак]

Если сядет руткит, сканить - бесполезно. Ну в лучшем случае можно засечь, а вот вылечить - обычно не прокатыват.

В настройках браузера есть разделы - как обрабатывать ActivX объекты и сценарии. Я у себя существенно "порезал" возможности сайтов хозяйничать на компе... Может это помогает. Нюансов тут много.

Т.е. лечение со стороны - первое, второе - настроить систему безопасности.

 

[Весельчак]

Зачем с другого компа? Сейчас нарежу загрузочник из образа с Доктором вебом, и посмотрю, что будет.

или так 😄

 

[France]

Качай combofix, пройдись им. Сильная утилита против руткитов.
Если не поможет - то сюда. Там помогут.

 

[Kvas]

А как там анализировать лог - файл?

Выкладывать его на форум как-то неохота - там есть список установленных за месяц программ - вроде похож на то,что я скачивал.

Да, немного файлов он запихнул в карантин.

Я не спец,но разве:

C:\start.bat

это вирус? Я смутно припоминаю,что эта штука в компе быть должна, а антивирь, судя по моему переводу,тихонько его стер и поместил в карантин. 😁

А вот эта штука моему неискушенному моСгу кажеццо подозрительной. Правда, KGB, было-бы подозрительнее.... 😁

C\WINDOWS\system32\fsb.exe 😁

 

[FatCat]

C:\start.bat

это вирус? Я смутно припоминаю,что эта штука в компе быть должна

Не должна.
В ДОС-овских системах был обязательный autoexec.bat; на NT-системах его уже вроде нет; не в курсе, у меня DOS имеется, поэтому и файл имеется.

 

[Весельчак]

А вот эта штука моему неискушенному моСгу кажеццо подозрительной. Правда, KGB, было-бы подозрительнее.... 😁
C\WINDOWS\system32\fsb.exe 😁

У меня такой нет..
Если можешь определить - сжатый он или нет, если пожат - вирь, в том каталоге сжатых исполняемых файлов не должно быть.
Вообще, если в корне есть непустые батники или Autorun.Inf - тачка заражена, часто трояны пользуются этой дыркой.

 

[Kvas]

Не должна.

Ога, все в точности до наоборот,прочител,что фсб - это какой-то нужный для народа процесс... Короче, темный лес.... 😁

Кстати,имел недавно грабли с какой-то фигней - постоянно останавливался какой-то процесс и не запускалось ничего, при этом иногда комп нельзя было даже отключить - не реагировал. 😁
Заплатки для данной проблемы не помогли нифига... Пришлось чего-то отключить, рабочую станцию штоле - ну в инете советов много - вроде дня четыре уже тьфу-тьфу...
Так во-от откуда вся гадость-то ползет. 😁

 

[Kvas]

Короче, я покрылся холодным потом,когда он начал удалять:

c:\program files\INSTALL.LOG
C:\start.bat
c:\windows\IE4 Error Log.txt
c:\windows\system32\efccYqOH.dll
c:\windows\system32\fsb.exe
c:\windows\system32\gwfynhxs.dll
c:\windows\system32\vyoikmrb.dll
c:\windows\system32\wxbbdfhk.ini
c:\windows\system32\wxbbdfhk.ini2
c:\windows\Tasks\zsksaeye.job
c:\windows\Temp\tmp3.tmp

Но вероятно,это от компьютерной неграмотности. 😁

А в карантин он загнал:

2004-06-12 23:21:56 A------- 808 C:\Qoobox\Quarantine\C\Program Files\INSTALL.LOG.vir
2004-08-18 22:32:39 A------- 100 C:\Qoobox\Quarantine\C\START.BAT.vir
Тута было то,че не хочу светить.... Оно было и наверху
2006-09-13 01:51:29 A------- 0 C:\Qoobox\Quarantine\C\WINDOWS\system32\fsb.exe.vir
2008-11-09 23:41:05 A------- 1,494 C:\Qoobox\Quarantine\C\WINDOWS\IE4 Error Log.txt.vir
2009-02-11 10:17:28 A------- 48,128 C:\Qoobox\Quarantine\C\WINDOWS\system32\efccYqOH.dll.vir
2009-02-11 10:17:29 A------- 312 C:\Qoobox\Quarantine\C\WINDOWS\Tasks\zsksaeye.job.vir
2009-02-11 10:22:32 A------- 3,563 C:\Qoobox\Quarantine\C\WINDOWS\system32\wxbbdfhk.ini.vir
2009-02-11 10:22:32 A------- 3,563 C:\Qoobox\Quarantine\C\WINDOWS\system32\wxbbdfhk.ini2.vir
2009-02-12 14:27:38 A------- 62,576 C:\Qoobox\Quarantine\C\WINDOWS\system32\gwfynhxs.dll.vir
2009-02-13 16:00:15 A------- 0 C:\Qoobox\Quarantine\C\WINDOWS\Temp\tmp3.tmp.vir
2009-02-13 16:08:31 A------- 65,296 C:\Qoobox\Quarantine\C\WINDOWS\system32\vyoikmrb.dll.vir
2009-02-17 09:16:24 A------- 54 C:\Qoobox\Quarantine\catchme.log
2009-02-17 09:21:02 A------- 10,034 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2009-02-17 09:35:48 A------- 171 C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}.reg.dat

 

[Kvas]

Кстати,на днях прореживал Др. Вебом бесплатным - отловил он немножко.

 

[Весельчак]

Короче, я покрылся холодным потом,когда он начал удалять: ...

когда увидишь удаленным "C:\Boot.ini" вот тогда можешь спокойно потеть и идти в душ. После перезагрузки комп уйдет в себя 😁
А тут.... файлом больше, файлом меньше... 😁

 

[France]

C:\start.bat

это вирус? Я смутно припоминаю,что эта штука в компе быть должна...

В стандартном наборе такой штуки нет. Так что она, эта штука, могла делать все, что угодно.. Если она есть в карантине, посмотри, что этот батник делал, что запускал...

Вообще, если комп будет нормально работать и все нормально запускаться, значит все стертое тебе (и компу твоему) нафиг не нужно было.. 😁

 

[Kvas]

А скока ждать?
А то терзают меня смутные сомнения,что если я опять как-нибудь использую "восстановление системы" - они из карантинной папки восстановяцца обратно.

 

[France]

Да скинь ты этот карантин на внешний носитель (флешку, CDюк и т.п.), если так боишься те файлы потерять, а на компе потри. И не парся.

 

[Igorrek]

Короче, я покрылся холодным потом,когда он начал удалять:

c:\program files\INSTALL.LOG
C:\start.bat
c:\windows\IE4 Error Log.txt
c:\windows\system32\efccYqOH.dll
c:\windows\system32\fsb.exe
c:\windows\system32\gwfynhxs.dll
c:\windows\system32\vyoikmrb.dll
c:\windows\system32\wxbbdfhk.ini
c:\windows\system32\wxbbdfhk.ini2
c:\windows\Tasks\zsksaeye.job
c:\windows\Temp\tmp3.tmp

Вышеприведенный список удаленных файлов - стопудовые черви. Правильно удалили. 😄

 

[Kvas]

Вышеприведенный список удаленных файлов - стопудовые черви. Правильно удалили. 😄

Ну,значить Францева утилита круче доктора веба оказалась. 😁 Считайте-я был первопроходцем - пользуйтесь....

 

[SA]

У меня всё чистенько. Каспера пользую :)