-
#1
Базы Касперского повреждены!!!
-
hijackthis.log
10.7 KB
· Просмотры: 2 -
log.txt
25.9 KB
· Просмотры: 2 -
virusinfo_syscure.zip
29.6 KB
· Просмотры: 6
-
#2
Здравствуйте!!!
— Выполните в АВЗ:
begin
QuarantineFile('C:Windowssystem32sfrem01.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.
— Обновите базы АВЗ и переделайте логи.
-
#3
ошибка чтоли в скрипте
о нет прошу прощения, скопировал не чисто все ок, высылаю карантин, запуская сканер для лога
и всетаки что то не то
вот текст Ошибка скрипта: ‘.’ expected, позиция [5:1]
Ошибка скрипта: ‘.’ expected, позиция [5:1]
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Последнее редактирование: 4 Дек 2011
-
#4
Вот лог
-
virusinfo_syscure.zip
27.6 KB
· Просмотры: 2
-
#5
Скачайте Malwarebytes’ Anti-Malware или с зеркала, установите, обновите базы, выберите «Perform Full Scan«, нажмите «Scan«, после сканирования — Ok — Show Results (показать результаты) — Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
-
#6
ОК
-
mbam-log-2011-12-03 (17-12-46).txt
1 KB
· Просмотры: 2
-
#7
Здравствуйте!!!
— Выполните в АВЗ:
begin QuarantineFile('C:Windowssystem32sfrem01.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.
— Обновите базы АВЗ и переделайте логи.
Карантин выслал!
-
#8
Проблема еще наблюдается?
-
#9
Восстановил каспера с помощью дистрибутива, вроде все нормально!
А карантин мой с вирусом??? Может этот файл удалить ?!?!?
-
#11
Вот так если удалю, правильно будет?
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_DeleteFile ('C:Windowssystem32sfrem01.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Последнее редактирование: 4 Дек 2011
-
#14
Файл сами у себя нашли? Или это уже другой компьютер. Если у себя делайте логи AVZ&Rsit
-
#15
про файл я понял исходя из того что мне его в карантин было предложено вставить в первых постах. Поэтому подумал про наличие его в системе!
Поискал файл в папке его нет. Искал по ALT+F7 в TotalComander, отображение скрытых файлов включено!
Последнее редактирование: 4 Дек 2011
-
#16
Ладно удалили легитим.
Если будут проблемы то переустановите драйверы на звук.
Жалобы еще есть, тему закрывать?
TDSS Remover использовали?
C:WINDOWStaskskill1.job
C:WINDOWStaskskill2.job
C:WINDOWStaskskill3.job
C:WINDOWStasksProject1.job
C:tperfect.exe
назначенные задания и файл ваши?
удалите avptool, KK, TDSS Remover и прочие сканеры (кроме avz, rsit, hijackthis)
1. Вам необходимо установить Service Pack 3 (может потребоваться активация) Почему важно обновлять Windows и установленные в ней программы+ скачайте и установите все последние обновления для безопасности windows
В целях безопасности скачайте и установите Internet Explorer 8
обновите:
adobe reader , Sun Java а так же: Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.
2.В логе сканирования Hijackthis отметьте:
R3 — URLSearchHook: (no name) — — (no file)
O20 — Winlogon Notify: winwrv32 — winwrv32.dll (file missing)
нажмите «Fix checked»
3.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл — Выполнить скрипт — Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:WINDOWSsystem32DRIVERS18898826.sys',''); QuarantineFile('winwrv32.dll',''); DeleteFile('winwrv32.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
после перезагрузки выполнить второй скрипт:
Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.
4.Скачайте Malwarebytes’ Anti-Malware или с зеркала, установите, обновите базы, выберите «Perform Full Scan«, нажмите «Scan«, после сканирования — Ok — Show Results (показать результаты) — Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
5.сделайте повторные логи avz (обновите базы) и rsit.
Malwarebytes’ Anti-Malware 1.44
Версия базы данных: 3646
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
27.01.2010 21:37:03
mbam-log-2010-01-27 (21-37-03).txt
Тип проверки: Полная (A:|C:|D:|E:|F:|H:|)
Проверено объектов: 211630
Прошло времени: 34 minute(s), 20 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 3
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDRMamty (Worm.Autorun) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTidid (Trojan.Sasfix) -> Quarantined and deleted successfully.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
D:Program FilesWinRARDef_US.SFX (Spyware.OnlineGames) -> Quarantined and deleted successfully.
H:System Volume Information_restore{BFCB32AB-EF6B-411C-B1FE-646446A3A1AB}RP39A0009750.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:Program FilesCommon Fileskeylog.txt (Malware.Trace) -> Quarantined and deleted successfully.
воскресенье, 07 июня 2015
Здравствуйте.
По определенным причинам, история долгая, занесла в компьютер вирус. Не был включен Spider Gate на Dr.Web, когда я загружала сторонюю программу.
И выглядит он так:
Я облазила Гугл и полночи пыталась снести дрянь с помощью SpyHunter (патч нашла, но его блокирует «китайская фигня синяя с ромбиком») и System Protector (ключ не найден).
Я морально готовлюсь, конечно, к переустановке системы, но, может, есть еще надежда на то, что можно систему чем-то вылечить?
Спасибо за ответ заранее.
Решение: использование утилиты AVZ с выполнением написанных скриптов в безопасном режиме (см.комментарии)
@темы:
Вирусы spyware и adware,
Windows 7
avz 4.32 находит в автозагрузке данный процесс, но реально файла нет, причем вроде как в XP SP3 такого файла давно нет…
Ошибка карантина файла, попытка прямого чтения (C:WINDOWSsystem32psxss.exe)
Карантин с использованием прямого чтения — ошибка
HKEY_LOCAL_MACHINE, SystemCurrentControlSetControlSession ManagerSubSystems, Posix
Что-нибудь прояснить можете?
Удалил эту запись из реестра. Сразу получились странные логи…
Еще вот касперского закарантинило:
[infectedFile]
Src=C:Program Files (x86)Kaspersky LabKaspersky Anti-Virus 2009avp.com
Infected=avz00002.dta
Virus=PE файл с измененным расширением, допускающим запуск (присуще вирусам)
QDate=04.01.2010 23:10:05
Size=19472
MD5=397B283FE5593259DD6173195E0CF677
FileDate=27.08.2009 11:16:24
AVZVer=4.32
Attr=
MainAVBase=04.01.2010 17:18:27
virusinfo_syscheck.zip
virusinfo_syscure.zip
Изменено 4 января, 2010 пользователем igorX
-
#1
Базы Касперского повреждены!!!
-
hijackthis.log
10.7 KB
· Просмотры: 2 -
log.txt
25.9 KB
· Просмотры: 2 -
virusinfo_syscure.zip
29.6 KB
· Просмотры: 6
-
#2
Здравствуйте!!!
— Выполните в АВЗ:
begin
QuarantineFile('C:Windowssystem32sfrem01.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.
— Обновите базы АВЗ и переделайте логи.
-
#3
ошибка чтоли в скрипте
о нет прошу прощения, скопировал не чисто все ок, высылаю карантин, запуская сканер для лога
и всетаки что то не то
вот текст Ошибка скрипта: ‘.’ expected, позиция [5:1]
Ошибка скрипта: ‘.’ expected, позиция [5:1]
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Ошибка карантина файла, попытка прямого чтения (C:Windowssystem32sfrem01.exe)
Карантин с использованием прямого чтения — ошибка
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Последнее редактирование: 4 Дек 2011
-
#4
-
virusinfo_syscure.zip
27.6 KB
· Просмотры: 2
-
#5
Скачайте Malwarebytes’ Anti-Malware или с зеркала, установите, обновите базы, выберите «Perform Full Scan«, нажмите «Scan«, после сканирования — Ok — Show Results (показать результаты) — Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
-
#6
-
mbam-log-2011-12-03 (17-12-46).txt
1 KB
· Просмотры: 2
-
#7
Здравствуйте!!!
— Выполните в АВЗ:
begin QuarantineFile('C:Windowssystem32sfrem01.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.
— Обновите базы АВЗ и переделайте логи.
Карантин выслал!
-
#8
Проблема еще наблюдается?
-
#9
Восстановил каспера с помощью дистрибутива, вроде все нормально!
А карантин мой с вирусом??? Может этот файл удалить ?!?!?
-
#11
Вот так если удалю, правильно будет?
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_DeleteFile ('C:Windowssystem32sfrem01.exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Последнее редактирование: 4 Дек 2011
-
#14
Файл сами у себя нашли? Или это уже другой компьютер. Если у себя делайте логи AVZ&Rsit
-
#15
про файл я понял исходя из того что мне его в карантин было предложено вставить в первых постах. Поэтому подумал про наличие его в системе!
Поискал файл в папке его нет. Искал по ALT+F7 в TotalComander, отображение скрытых файлов включено!
Последнее редактирование: 4 Дек 2011
-
#16
Ладно удалили легитим.
Если будут проблемы то переустановите драйверы на звук.
Жалобы еще есть, тему закрывать?
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
1 |
|
Подцепил вирус09.08.2011, 06:12. Показов 7432. Ответов 22
Позавчера подцепил вирус от сайта со спам рекламой, аваст закричал о вирусе, но видимо не смог остановить. После этого при работе аваст постоянно кричит о попытке соединения файлы netprotocol.exe с какими-то сайтами. Не смог сделать логи RSITA, т.к. компьютер без интернета. Прикрепил лог HiJack’а Прикрепляю логи, надеюсь на помощь
0 |
Programming Эксперт 94731 / 64177 / 26122 Регистрация: 12.04.2006 Сообщений: 116,782 |
09.08.2011, 06:12 |
Ответы с готовыми решениями: Подцепил вирус Подцепил вирус в панели задач появился значек "сканер почты avast!", и с ним ничего нельзя… Подцепил вирус Подцепил вирус 22 |
Заблокирован |
|
09.08.2011, 09:57 |
2 |
Не смог сделать логи RSITA скачайте на другом ПК, сделать нужно обязательно C:UsersAndreyAppDataRoamingMegaFon Internetouc.exe — это ваше? 1.Проверьте на virustotal.com: C:WindowsInstallerd664b.msi ссылки на результат запостите здесь найдите при помощи avz этот файл и отправьте на анализ BinaryBloodlineChampions.exe Как искать файлы при помощи AVZ и отправить на анализ 2.В логе сканирования Hijackthis отметьте: O4 — Startup: igfxtray.exe нажмите «Fix checked» 3.Перед выполнением скрипта выгрузите антивирусное и защитное ПО. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:usersandreyappdatalsass.exe'); QuarantineFile('C:UsersAndreyAppDataRoamingMegaFon Internetouc.exe',''); QuarantineFile('C:WindowsInstallerd664b.msi',''); QuarantineFile('C:Program FilesAcroPDFInst.exe',''); QuarantineFile('C:UsersAndreyAppDatalsass.exe',''); QuarantineFile('C:Windowssystem32upuxigh.dll',''); DeleteFile('C:Windowssystem32upuxigh.dll'); DeleteFile('C:UsersAndreyAppDatalsass.exe'); RegKeyStrParamWrite('HKLM', 'SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'system32userinit.exe,'); RegKeyStrParamWrite('HKLM', 'SoftwareMicrosoftWindows NTCurrentVersionWindows', 'AppInit_DLLs', ''); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(13); RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 4.Скачайте Malwarebytes’ Anti-Malware или с зеркала, установите, обновите базы, выберите «Perform Full Scan«, нажмите «Scan«, после сканирования — Ok — Show Results (показать результаты) — Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. 5.сделайте повторные логи avz и rsit .
1 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
09.08.2011, 12:53 [ТС] |
3 |
Не могу отправить на анализ «BinaryBloodlineChampions.exe». При попытке сделать это первым способом пишет : Второй способ (через поиск на диске, искал только в C:Windows) вообщен не находит файл Кроме того, не могу выполнить 2 пункт, там просто нет такой строки! В добавок при попытке выполнения скрипта окошечко, куда надо писать скрипт появляется, а потом сразу исчезает. На дальнейшие действия avz не откликивается Добавлено через 31 минуту Добавлено через 21 минуту Добавлено через 2 минуты Добавлено через 16 минут Добавлено через 27 минут C:Program FilesAcroPDFInst.exe: Добавлено через 54 секунды
0 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
09.08.2011, 14:13 [ТС] |
4 |
Логи malware
0 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
09.08.2011, 16:28 [ТС] |
5 |
Логи после скана малваром Основные проблемы исчезли (вирусы больше не атакуют, из процессов ушло все лишнее)
0 |
Заблокирован |
|
09.08.2011, 23:13 |
6 |
1. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox — Select All — Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera — Select All — Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. 2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:amcp772c.exe',''); QuarantineFile('C:Windowssystem329F47.tmp',''); QuarantineFile('c:usersandreyappdataroamingmicrosoftwindowsstart menuprogramsstartupigfxtray.exe ',''); DeleteFile('C:amcp772c.exe'); DeleteFile('C:Windowssystem329F47.tmp'); DeleteFile('c:usersandreyappdataroamingmicrosoftwindowsstart menuprogramsstartupigfxtray.exe '); DeleteFile('C:WindowsSystem32driversowtxv.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('owtxv'); BC_Activate; RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 3. сделайте повторные логи avz и rsit.
вообщен не находит файл
нет такой строки! ок
virustotal перестал загружаться и на первом, и на втором компьютере. то, что VT не загружается здесь, это закономерность, а второй комп тоже стоит проверить, т к это 1 из признаков заражения.
Можно ли залить Quarantin на rghost? нет, отправьте тогда на quarantine#safezone.cc
Основные проблемы исчезли (вирусы больше не атакуют, из процессов ушло все лишнее) не совсем чисто, после выполнения скрипта отпишитесь о проблемах.
1 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
10.08.2011, 01:38 [ТС] |
7 |
Делаю логи. После скрипта проблема с IE не исчезла
0 |
Заблокирован |
|
10.08.2011, 01:50 |
8 |
Второй архив отправить не смогу, он весит около 72 мб, что делать?
отправьте тогда на quarantine#safezone.cc
проблема с IE не исчезла Скачайте и запустите Fix IE Utility .
0 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
10.08.2011, 15:30 [ТС] |
9 |
Вот логи после скрипта, щас попробую пофиксить через Fix IE
0 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
10.08.2011, 15:32 [ТС] |
10 |
IE Fix не помог, все-равно крашться с ошибкой на IEBHO.dll
0 |
Заблокирован |
|
10.08.2011, 15:37 |
11 |
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. Подробнее в «ComboFix. Руководство по применению.»
1 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
10.08.2011, 16:56 [ТС] |
12 |
Вот лог фикса
0 |
Заблокирован |
|
10.08.2011, 17:19 |
13 |
крашться с ошибкой на IEBHO.dll это в журнале событий такая запись? Или сообщение об ошибке при запуске? Текст дословно приведите. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.* Код RegLock:: [HKEY_USERS.DefaultSoftwareMicrosoftInternet ExplorerUser Preferences] [HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}000AllUserSettings] [HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}002AllUserSettings] Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
0 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
10.08.2011, 18:05 [ТС] |
14 |
Нет, журнал не смотрел Добавлено через 36 минут
0 |
Заблокирован |
|
10.08.2011, 18:08 |
15 |
Может просто удалить его? это не зловред, но попробуйте удалить iMesh Applications через установку и удаление программ. Если что, позже можно будет установить заново.
0 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
10.08.2011, 18:26 [ТС] |
16 |
Архив с логом ComboFix’а (через скрипт)
0 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
10.08.2011, 18:27 [ТС] |
17 |
Удалил Imesh, но папка с медиа баром все-равно осталась, и .Dll вместе с ней
0 |
Заблокирован |
|
10.08.2011, 18:37 |
18 |
Мб просто в ручную удалить ее,или не стоит? Попробуйте удалить, также возможно поможет переустановка Internet Explorer 8 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку «ОК« Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
0 |
0 / 0 / 0 Регистрация: 09.08.2011 Сообщений: 14 |
|
10.08.2011, 18:49 [ТС] |
19 |
Удалил imesh, все работает прекрасно, видимо такой был медиабар :/
0 |
Заблокирован |
|
10.08.2011, 18:51 |
20 |
Если больше ничего не беспокоит, то обновите: Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск — выполнить — cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду: REG ADD HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f Нажмите enter. Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск — Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск — Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox — Select All — Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera — Select All — Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендуется:
0 |
IT_Exp Эксперт 87844 / 49110 / 22898 Регистрация: 17.06.2006 Сообщений: 92,604 |
10.08.2011, 18:51 |
Помогаю со студенческими работами здесь Подцепил вирус Похоже подцепил вирус… У меня такая проблема… после скачивания одной оччень подозрительной… Браузер подцепил вирус! подцепил вирус-майнер Подцепил вирус на браузер Cтранный вирус подцепил Искать еще темы с ответами Или воспользуйтесь поиском по форуму: 20 |
Здравствуйте…
У меня вот что случилось. NOD постоянно выдает угрозу:
После удаления файла и перезагрузки компьютера ВСЁ повторяется. т.е. файл advapi.$$$ остается на месте и NOD
продолжает сообщать об угрозе от этого файла.
Результаты проверки:
1. AVZ
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 25.12.2008 11:17:47
Загружена база: сигнатуры — 202224, нейропрофили — 2, микропрограммы лечения — 56, база от 23.12.2008 21:05
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 74370
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D230F]
>>> Код руткита в функции LoadLibraryExW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541]
>>> Код руткита в функции SystemFunction035 нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
>>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
>>> Код руткита в функции InternetAlgIdToStringW нейтрализован
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно — подозрение на подмену адреса ЦП[1].IDT[06] = [b1A3883B] C:WINNTsystem32haspnt.sys, драйвер
опознан как безопасный
>>> Опасно — подозрение на подмену адреса ЦП[1].IDT[0E] = [b1A38780] C:WINNTsystem32haspnt.sys, драйвер
опознан как безопасный
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 53
d:program filesrhinosoft.comserv-uservutray.exe >>> подозрение на Trojan.Win32.Vapsup.lvd
Файл успешно помещен в карантин (d:program filesrhinosoft.comserv-uservutray.exe)
Количество загруженных модулей: 349
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:WINNTSchedLgU.Txt
Прямое чтение C:WINNTsystem32advapi32.$$$
Прямое чтение C:WINNTsystem32CatRoot2edb.log
Прямое чтение C:WINNTsystem32CatRoot2tmp.edb
Прямое чтение C:WINNTsystem32configAppEvent.Evt
Прямое чтение C:WINNTsystem32configdefault
Прямое чтение C:WINNTsystem32configSAM
Прямое чтение C:WINNTsystem32configSAM.LOG
Прямое чтение C:WINNTsystem32configSecEvent.Evt
Прямое чтение C:WINNTsystem32configSECURITY
Прямое чтение C:WINNTsystem32configSysEvent.Evt
Прямое чтение C:WINNTsystem32configsystem
Прямое чтение C:WINNTsystem32wbemRepositoryFSINDEX.BTR
Прямое чтение C:WINNTsystem32wbemRepositoryFSMAPPING1.MAP
Прямое чтение C:WINNTsystem32wbemRepositoryFSMAPPING2.MAP
Прямое чтение C:WINNTsystem32wbemRepositoryFSOBJECTS.DATA
Прямое чтение C:WINNTsystem32wbemRepositoryFSOBJECTS.MAP
Прямое чтение C:WINNTWindowsUpdate.log
D:Program FilesRhinoSoft.comServ-UServUTray.exe >>> подозрение на Trojan.Win32.Vapsup.lvd
E:Adfilesupimages2389medium.jpg >>> подозрение на Packed.Win32.Tibs.an
Файл успешно помещен в карантин (E:Adfilesupimages2389medium.jpg)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:WINNTsystem32cpadvai.dll —> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:WINNTsystem32cpadvai.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Ошибка карантина файла, попытка прямого чтения (C:WINNTsystem32cpadvai.dll)
Карантин с использованием прямого чтения — ошибка
e:program filescrypto procspcpcrypt.dll —> Подозрение на Keylogger или троянскую DLL
e:program filescrypto procspcpcrypt.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (e:program filescrypto procspcpcrypt.dll)
e:program filescrypto procspcpwinet.dll —> Подозрение на Keylogger или троянскую DLL
e:program filescrypto procspcpwinet.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (e:program filescrypto procspcpwinet.dll)
C:Program FilesLogitechMouseWareSystemLgWndHk.dll —> Подозрение на Keylogger или троянскую DLL
C:Program FilesLogitechMouseWareSystemLgWndHk.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
C:Program FilesLogitechMouseWareSystemLgWndHk.dll>>> Нейросеть: файл с вероятностью 99.91% похож на
типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:Program FilesLogitechMouseWareSystemLgWndHk.dll)
C:Program FilesCommon FilesLogitechScrollingLgMsgHk.dll —> Подозрение на Keylogger или троянскую DLL
C:Program FilesCommon FilesLogitechScrollingLgMsgHk.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
C:Program FilesCommon FilesLogitechScrollingLgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на
типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:Program FilesCommon FilesLogitechScrollingLgMsgHk.dll)
E:Program FilesCrypto ProCSPcpcspi.dll —> Подозрение на Keylogger или троянскую DLL
E:Program FilesCrypto ProCSPcpcspi.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (E:Program FilesCrypto ProCSPcpcspi.dll)
E:Program FilesCrypto ProCSPcpcspr.dll —> Подозрение на Keylogger или троянскую DLL
E:Program FilesCrypto ProCSPcpcspr.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (E:Program FilesCrypto ProCSPcpcspr.dll)
E:Program FilesCrypto ProCSPcpsuprt.dll —> Подозрение на Keylogger или троянскую DLL
E:Program FilesCrypto ProCSPcpsuprt.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (E:Program FilesCrypto ProCSPcpsuprt.dll)
E:Program FilesCrypto ProCSPcprndm.dll —> Подозрение на Keylogger или троянскую DLL
E:Program FilesCrypto ProCSPcprndm.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (E:Program FilesCrypto ProCSPcprndm.dll)
E:Program FilesCrypto ProCSPbio.dll —> Подозрение на Keylogger или троянскую DLL
E:Program FilesCrypto ProCSPbio.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (E:Program FilesCrypto ProCSPbio.dll)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к.
существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 18 TCP портов и 17 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: «C:PROGRA~1GoogleGOOGLE~3GOEC62~1.DLL»
Проверка завершена
8. Поиск потенциальных уязвимостей
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD — исправлено
>> Разрешен автозапуск с сетевых дисков
>>> Разрешен автозапуск с сетевых дисков — исправлено
>> Разрешен автозапуск со сменных носителей
>>> Разрешен автозапуск со сменных носителей — исправлено
Проверка завершена
Просканировано файлов: 310897, извлечено из архивов: 228555, найдено вредоносных программ 0, подозрений — 3
Сканирование завершено в 25.12.2008 12:03:21
Сканирование длилось 00:45:48
=========================================================
2. Dr.Web CureIt!- вообще не видит угрозы от advapi.$$$
3. NOD при глубокой проверке удаляет advapi.$$$, но после перезагрузки, как уже говорил, ВСЁ повторяется.
4. Ad-aware тоже ничего подозрительного не находит.
Кто знает как решить проблему, что нужно сделать, что посоветуете? До НГ надо с компом разобраться (
Заранее спасибо.
ВК
|
Просматривают:
Вверх Предыдущая тема Следущая тема (1) 2 » Зарегистрируйтесь, чтобы получить полноценный доступ к форумам
[Настройки поиска] |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||