N.Joy Опубликовано 18 января, 2009 Жалоба Поделиться Опубликовано 18 января, 2009 (изменено) Доброго времени суток! Пару дней назад касперский обнаружил вирус Net-Worm.Win32.Kolab.bcm в приложении winlogin.exe, но никак не может его удалиь, просто так оно тоже не удаляется. Доктор веб его не видит вообще. В теме "сетевая безопасность" на 19 странице что то есть по поводу этого winloginа, там его советуют удалить с помощью hijackthis но насколько я понимаю в моём случае хияк его тоже не видит.... Кажется он пришел с сайта petica точка rs, каждый раз когда загружаю компьютер приложение java.exe(зараженное тем же вирусом) с этого сайта упорно ломится ко мне; пока что я запрещаю доступ с помощью каспера, но не знаю сколько это может продолжаться... не подскажете как насовсем запретить ему доступ? файрвола у меня нет: это слишком сложно для моего понимания :cool: Вчера приложение winlogin было в папке Windows, но, после того как я запустила быструю проверку CureIT и он удалил пару прог adware, winlogin куда то делся, а каспер написал что лечение успешно завершено, вирус удален(хотя сначала никак не мог с ним справиться). Я проверила папку и приложения там действительно не оказалось. Но сегодня когда я включила компьютер все снова повторилось касперский снова указывает C:\windows\winlogin.exe но теперь его там нет. в автозагрузке тоже нет, но он "автозагружается". В общем касперский удалил уже пару десятков копий этого вируса из documents and settings, но все равно появляются новые, т.е. копии удаляет а основной не может. + комп подвисает когда загружается(пока я не остановлю процесс winlogin) а перед выключением появляется окно завершения программы dialog и очень долго висит... Плюс ко всему иконки архивов и текстовых файлов не отображаются... подозреваю что скоро случится что то плохое :D либо я справлюсь с этой вируснёй))) Очень прошу мне помочь! сейчас сессия а я так нуждаюсь в своём родном ПК=) P.S. посмотрите еще пожалуйста картинку. Что она означает и что исправить чтобы она не появлялаь? (появляется не очень часто, даже редко, но все равно меня беспокоит) заранее спасибо :blush2: virusinfo_syscheck.ziplog.txtinfo.txt virusinfo_syscheck.zip log.txt info.txt Изменено 18 января, 2009 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 января, 2009 Жалоба Поделиться Опубликовано 18 января, 2009 i Уведомление:Карантин удалил....нужен лог syscure AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\windows\winlogin.exe');SetServiceStart('System Scheduler', 4);QuarantineFile('C:\WINDOWS\winlogin.exe','');QuarantineFile('C:\WINDOWS\lsass32.exe','');QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL','');QuarantineFile('System Scheduler.sys','');QuarantineFile('c:\windows\winlogin.exe','');QuarantineFile('c:\program files\авторизатор\authcliw.exe','');DeleteFile('c:\windows\winlogin.exe');DeleteFile('System Scheduler.sys');DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL');DeleteFile('C:\WINDOWS\lsass32.exe');DeleteFile('C:\WINDOWS\winlogin.exe');DeleteFile('C:\autorun.exe');DeleteFile('C:\autorun.wsh');DeleteFile('D:\autorun.wsh');DeleteService('System Scheduler');DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)Ваш провайдер? 85.255.112.0 - 85.255.127.255UkrTeleGroup Ltd.UkraineAndrew SotovMechnikova 58/5 65029 Odessaphone: +380631508855Andrew SotovMechnikova 58/5 65029 Odessaphone: +380631508855UkrTeleGroupEnoi?iee: whois.ripe.net Если нет пофиксить в HijackThis следующие строчкиO17 - HKLM\System\CCS\Services\Tcpip\..\{DBA07707-001F-435B-980E-5CA20EA64F4E}: NameServer = 85.255.115.92,85.255.112.108O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.92 85.255.112.108O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.92 85.255.112.108O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.92 85.255.112.108 Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
N.Joy Опубликовано 18 января, 2009 Автор Жалоба Поделиться Опубликовано 18 января, 2009 провайдер - convex архив на почту отправила А лог только один должен быть новый? :blush2: virusinfo_syscure.ziplog1.txt log1.txt virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 января, 2009 Жалоба Поделиться Опубликовано 18 января, 2009 А лог только один должен быть новый? Все новые...нужно повторить все действия для получения логов (я не имею в виду скачивать и проверять куреитом, только действия для получения логов :cool: ) virusinfo_syscure.zip - старый :blush2: Ссылка на комментарий Поделиться на другие сайты Поделиться
N.Joy Опубликовано 19 января, 2009 Автор Жалоба Поделиться Опубликовано 19 января, 2009 Новые логи :doh: : virusinfo_syscheck.zipvirusinfo_syscure.ziplog.txtinfo.txt virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 января, 2009 Жалоба Поделиться Опубликовано 19 января, 2009 Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
N.Joy Опубликовано 19 января, 2009 Автор Жалоба Поделиться Опубликовано 19 января, 2009 Кстати.... я тут тока заметила строчку в первом сообщении: QuarantineFile('c:\program files\авторизатор\authcliw.exe',''); это для выхода в интернет... поставили когда подключали. так что не надо его запрещать :blush2: +лог) mbam_log_2009_01_19__21_33_22_.txt mbam_log_2009_01_19__21_33_22_.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 19 января, 2009 Жалоба Поделиться Опубликовано 19 января, 2009 Кстати.... я тут тока заметила строчку в первом сообщении: QuarantineFile('c:\program files\авторизатор\authcliw.exe','');это для выхода в интернет... поставили когда подключали. так что не надо его запрещать Это обычное снятие копии для анализа. Какие проблемы еще наблюдаются? Ссылка на комментарий Поделиться на другие сайты Поделиться
N.Joy Опубликовано 19 января, 2009 Автор Жалоба Поделиться Опубликовано 19 января, 2009 Вроде все. Во всяком случае касперский больше ничего не находит. СПАСИБО ОГРОМНОЕ! :) только ярлычки архивов и блокнота так и не отображаются.их можно как то вернуть? :blush2: и посмотрите еще картинку в первом сообщении пожалуйста... :blush2: Пасибо))) Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 20 января, 2009 Жалоба Поделиться Опубликовано 20 января, 2009 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginExecuteRepair(6);ExecuteRepair(5);ExecuteRepair(1);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. !!! Настройку рабочего стола прийдется провести заново. Изменено 21 января, 2009 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
N.Joy Опубликовано 20 января, 2009 Автор Жалоба Поделиться Опубликовано 20 января, 2009 Спасибо огромное за помощь!!! И за оперативное реагирование!) Вы действительно мне очень помогли! ;) Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения