-
Junior Member
- Вес репутации
- 53
Помогите разобраться с логами
Всем привет! Стоит KAV 9.0.0.736(а). Нашел и удалил вирусы. Но мне не нравиться поведение системы. Такое ощущение что там сидит еще что то. Периодически появляются ошибки связанные с приложением 7ехе(что это???). Стоит Vista SP2 32(86x). Прогнал AVZ 4.32 а в логе вообще не понятно ( то ли есть "зараза",то ли нет). Логи прилогаю
Последний раз редактировалось VlaDos; 28.11.2009 в 15:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
C вашими логами только один способ разборки - Внимательно прочитать, аккуратно выполнить
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось VlaDos; 28.11.2009 в 15:20.
-
Здравствуйте,
- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\PROGRA~2\DRM\ojbvp.dll','');
BC_ImportAll;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Нашел что после выхода в инет появляются новые папки с файлами ехе. C:Windows/System32/iIpc/(все 6 штук продукт заразы). C:Windows/System32/Temp(то же самое). C:Windows/System32(4 папки с этой гадастью). Так же нашел эту гадость в Content.IE 5 (весь путь прописывать не буду,надеюсь спецы знают где это).Логи все выкладывал в теме "Помогите разобраться с логами". После этого Зашел в инет и опять жуткие тормоза KAV 2010 показал что выполняется лечение и сам перезагрузился. В безопасном режиме прогнал прогой Virus Removal Tool. Нашла и удалила (лог прилогаю). Но самое интересное ,что после всего (лечение,удаление) появляются окна ошибки програм которые хотят исправить свою работоспособность через инет.Я понимаю что это замануха заразы (чтобы выйти в инет). Закрываю эти окна постоянно а они все равно появляются. Подключаюсь к интернету и окна пропадают, но происходит закачка заразы, которую Каспер присекает но не может вылечить(я так понял). Понимаю что удалив все эти папки,файлы они появятся в новь(сидят где то в реестре??). Запускал AVZ но он ничего по моему не нашел.(лог AVZ в преведущей теме). Чтооооооо делать?????? Сейчас сделаю.
-
Junior Member
- Вес репутации
- 53
Не знаю причины, но иногда прикрепляя файлы они как бы не загружаются. Вот логи: файл "cure" отправил. И еще были проблемы с обновление AVZ.
Последний раз редактировалось VlaDos; 28.11.2009 в 15:20.
-
Junior Member
- Вес репутации
- 53
Rene-gad сделал все как написано у Вас
-
Карантин получен и отправлен в лабораторию. В свежих логах еще кое-что интересное нашлось. Выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Windows\system32\pderunsrv.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Карантин закачайте
-
-
Junior Member
- Вес репутации
- 53
Выполнил второй скрипт, карантин загрузил. Что то ни чего не помогает. Все как было без изменений. И постоянно висит окно(я перестал его трогать). Скрин этого окна.
Последний раз редактировалось VlaDos; 28.11.2009 в 15:20.
-
Так ещё ничего и не лечили, только анализы собираем.
-
-
А вот теперь думаю полегчает. Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
DeleteFile('C:\Windows\system32\pderunsrv.dll');
DeleteFile('C:\PROGRA~2\DRM\ojbvp.dll');
DeleteFileMask('C:\PROGRA~2\DRM', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\fastuserswitchingcompatibility\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\PDEnum\Parameters','ServiceDll');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Повторите логи
-
-
Junior Member
- Вес репутации
- 53
vegas скрипт сейчас выполню обязательно (чтоб полегчало), но хочу объяснить одно явление (может нужное для выявления "болезни"). каспер нашел и выполнил процедуру лечения иперезагрузился. все файлы в злопапках исчезли и всплывающие ошибки то же пропали. Так хороше. Но стоило мне подключиться к инету, как тут же появилось окно Каспера с обнаруженными проблемами. так же сразу роявились файлы ехе в этой папке(скрин прилогаю). Пошел выполнять скрипт.
Последний раз редактировалось VlaDos; 28.11.2009 в 15:20.
-
Junior Member
- Вес репутации
- 53
Хороше что у меня стоит Виста и ХР. Отписываюсь с ХР. На Висте(с вирями) не возможно находиться в инете.
-
После выполнения скрипта сделайте логи AVZ, лог MBAM (см. в моей подписи) и вот такой скрипт выполните
Результат выполнения выложите сюда
-
-
Junior Member
- Вес репутации
- 53
vegas я выполнил скрипт на поиск уязвимостей,но лог чистый.Вот логи:
Последний раз редактировалось VlaDos; 28.11.2009 в 15:20.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
vegas уже после всего проделанного приятно стало находиться в инете. Ни одного всплывающего окна и воплей Каспера. Посмотрел папки где видел "заразу",все пустые кроме одной iIpc(указанна в скрине #12. Буду ждать дальнейших советов.....
-
Junior Member
- Вес репутации
- 53
Блин сглазил. Сейчас опять Каспер нашел вредоносное ПО (папка iIpc). И там появились 3-и файла ехе и 1-на dll-ка. Как это все насто..ело. Проверился kateskiller(по совету thyrex) все чисто. А прогнал опять Malwarebytes' Anti-Malware показал:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w inhelp32 (Backdoor.Hupigon) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\w inhelp32 (Backdoor.Hupigon) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\winhelp32 (Backdoor.Hupigon) -> No action taken.
Заражено файлов:
C:\Program Files\Ad Muncher\Patch_AML_v472_b30400.exe (Adware.Zhongsou) -> No action taken.
C:\Windows\System32\Winhelp32.exe (Backdoor.Hupigon) -> No action taken.
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\system32\WinHelp32.exe','');
DeleteFile('C:\Windows\system32\WinHelp32.exe');
DeleteFileMask('C:\Windows\System32\iIpc', '*.*', true);
DeleteDirectory('C:\Windows\System32\iIpc');
BC_ImportALL;
BC_DeleteSvc('WinHelp32');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин. Повторите лог virusinfo syscheck
-
-
Junior Member
- Вес репутации
- 53
vegas я до этого удалил все с помощью mbam. Скрипт выполнил, карантин закачал, вот лог:
А еще вопрос. Можете мне сказать источник заражения. Я имею ввиду от куда это можно ловить(сайты,патчи,проги,видео,музыка,трейнеры для игри т.д.). Чего опасаться?????????
Последний раз редактировалось VlaDos; 28.11.2009 в 15:20.