понедельник, 22 февраля 2010
23:14

все записи пользователя в сообществе марципановый маньяк
[ok]

Ай-яй, у меня тут атака троянов.
Мозилла отключилась и теперь не включается, аваст реагирует на такие файлы.
Что делать? Сносить мозиллу? А что потом?
читать дальше

@темы: Вирусы spyware и adware

URL
Комментарии
22.02.2010 в 23:44

Василиск
Прежде чем испробовать достичь цели - я хочу запомнить этот мир целым ©
www.freedrweb.com/livecd/ с диска (оптимально)
www.freedrweb.com/cureit/ из безопасного режима
URL
22.02.2010 в 23:47

Fomarkin
Запустите "полное сканирование" в Авасте, если он "видит" вирусы, в чем проблема?
У Аваста уж очень пугающая алярма, рекомендуется записать ее товарищу одмину в конце марта и 01.04 позвонить часа в 3 утра.
URL
22.02.2010 в 23:50

марципановый маньяк
а если сноска мозиллы не поможет? сейчас даже и без ее запуска появляется dcr.exe.
Прошла avz 2 раза, пока ничего нет.. и drweb прошла, ничего не находит.
Файлы просто выскакивают, видимо аваст их блокирует?
URL
22.02.2010 в 23:51

Василиск
Прежде чем испробовать достичь цели - я хочу запомнить этот мир целым ©
AVZ это не антивирусная утилита, а утилита диагностики. Используйте вещи от Dr Web, и только так, как я сказал
URL
22.02.2010 в 23:59

Fomarkin
Сэр Дьявол AVZ это не антивирусная утилита открытие для Зайцева
URL
23.02.2010 в 00:06

Василиск
Прежде чем испробовать достичь цели - я хочу запомнить этот мир целым ©
Fomarkin, скажешь у нее хороший антивирусный сканер или обалденная эвристика?
URL
23.02.2010 в 00:06

Enkryptor
Что делать? Сносить мозиллу?

зачем? она тут не виновата, я думаю


в Авасте, если он "видит" вирусы, в чем проблема?

присмотрись к алертам — там эвристик находит что-то похожее на трояны, т.е. это не строгий детект


марципановый маньяк, не паникуй. При физически отключенной сеты алерты всё равно появляются?
URL
23.02.2010 в 00:07

Fomarkin
марципановый маньяк Если Вы знаете где этот файл dcr.exe почему "руками" не удаляете?
URL
23.02.2010 в 00:09

Fomarkin
хороший антивирусный сканер или обалденная эвристика Зато выгружает из памяти практически все модули которые другими средствами не остановишь. Хотя зачем это, "это ж не антивирусная утилита" (це)
URL
23.02.2010 в 00:27

Enkryptor
я бы всё ж таки посоветовал сканер ЛК:
1. devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ (запустить в Безопасном режиме windows и прогнать проверку всех дисков)
+загрузочный диск:
2. devbuilds.kaspersky-labs.com/devbuilds/RescueDi... (записать диск и после загрузки с него обновить базы через интернет)
URL
23.02.2010 в 00:49

Fomarkin
Для начала папку Temp надо вычистить, dcr.exe вроде бы у Вас там окопался, если после удаления и перезагрузки он там опять окажется, неплохо бы было посмотреть лог HijackThis
URL
23.02.2010 в 01:41

Enkryptor
судя по всему, он там не "окопался", а появляется уже вследствие работы какого-то дроппера
URL
23.02.2010 в 09:41

Fomarkin
Enkryptor Так и Я о том же, надо узнать "окопался", а появляется появляется ли? Если появляется, то смотреть логи Хиджака
URL
23.02.2010 в 20:29

марципановый маньяк
Загрузилась через безопасный, прошла вебом, сейчас качаю AVPTool.
Пока ничего не появляется, всё спокойно. Того файла в системе нет, сейчас проверю dcr.exe, это ведь в тех папках, которые невидимые? или как туда попасть
URL
23.02.2010 в 20:33

марципановый маньяк
Ну вот, как только зашла в ту папку, сразу вылезло окно... только уже не dcr. , а dcq.exe :(
и это нормально, что в той папке таких похожих файлов несколько? dcs, dct, dcu, dcv, dcw, dcx -.exe
Что делать? Удалить вручную? Почему их не видят те утилитки?
URL
23.02.2010 в 20:34

Василиск
Прежде чем испробовать достичь цели - я хочу запомнить этот мир целым ©
Если ничего не найдут таки выложите сюда по данной инструкции forum.winall.ru/index.php?s=&showtopic=22230&vi...
URL
23.02.2010 в 20:34

Василиск
Прежде чем испробовать достичь цели - я хочу запомнить этот мир целым ©
Удаляйте вручную.
URL
23.02.2010 в 20:39

марципановый маньяк
лог
URL
23.02.2010 в 20:42

марципановый маньяк
лог
--
End of file - 7132 bytes
URL
23.02.2010 в 20:47

Fomarkin
марципановый маньяк В командной строке напишите del /f /q %Temp%\dc?.exe и нажмите Ентер Хорошо б посмотреть лог HijackThis
URL
23.02.2010 в 20:53

марципановый маньяк
Fomarkin лог выше выложила. это то?

мне написали: Windows can not find "del"... и т.д. у меня сейчас эта папка открыта, я те файлы поудаляла, их пока нет. видимо поэтому не находит
URL
23.02.2010 в 21:07

Fomarkin
Ну и до кучи , создайте текстовый файл, вставьте этот текст:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
TOY5KNQ8OC=-
Сохраните как допустим 1.reg , запустите этот файл, будет вопрос, согласитесь, потом файл можно удалить
URL
23.02.2010 в 21:12

марципановый маньяк
эмм. а как ему другое расширение поставить.. убрать txt
URL
23.02.2010 в 21:17

Fomarkin
Переименуйте или выберите "Сохранить как" и напишите название. Да и после перезагрузки зайдите опять в эту папку Temp и посмотрите не появились ли опять файлы dc*.exe
URL
23.02.2010 в 21:49

марципановый маньяк
Fomarkin так, ну "зарeгистрировала" его. сейчас перезагружусь.
URL
23.02.2010 в 21:56

марципановый маньяк
никаких файлов не появилось.
сейчас посмотрю через лог hijack, может там опять тот файл окажется.
URL
23.02.2010 в 21:58

марципановый маньяк
вроде ничего нет
читать дальше
URL
23.02.2010 в 22:09

Fomarkin
Блин, Я кавычки забыл поставить, надо "TOY5KNQ8OC" перепешите и запустите снова или руками удалите в реестре, судя по всему, да и по названию TOY..... это зловред так себе, ни очень буйный.
URL
23.02.2010 в 22:13

марципановый маньяк
В регистре не могу найти что-то похожее.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOY5KNQ8OC"=-

так написать?
URL