Показано с 1 по 16 из 16.

Подозрение на пачку вирусов, которые "выбивают" звуковую карту (заявка № 101863)

  1. #1
    Junior Member Репутация
    Регистрация
    20.03.2008
    Сообщений
    66
    Вес репутации
    32

    Thumbs up Подозрение на пачку вирусов, которые "выбивают" звуковую карту

    Доброго времени суток! Проблема в следующем. При загрузке системы вскорости появляются окна об ошибке доступа к приложению ***.ехе и svchost.exeИнструкция по адресу 0x6fe216e2 обратилась к памяти по адресу 0x01e6005c. Память не может быть written. После этого пропадает звук. Повторные перезагрузки помогают ровно до тех пор, пока не появятся эти окна. CureIt находит порядка 250 зараженных файлов и после излечения пару дней все работае нормально. А потом снова выскакивают окна об ошибках. Посмотрите логи, пожалуйста.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    DeleteFileMask('C:\Documents and Settings\Администратор\Application Data', '*.exe',false);
    DeleteFileMask('c:\RECYCLER', '*.*',true);
     DeleteFile('C:\WINDOWS\system32\04.exe');
     DeleteFile('C:\WINDOWS\system32\07.exe');
     DeleteFile('C:\WINDOWS\system32\10.exe');
     DeleteFile('C:\WINDOWS\system32\30.exe');
     DeleteFile('C:\WINDOWS\system32\37.exe');
     DeleteFile('C:\WINDOWS\system32\48.exe');
     DeleteFile('C:\WINDOWS\system32\57.exe');
     DeleteFile('C:\WINDOWS\system32\65.scr');
     DeleteFile('C:\WINDOWS\system32\67.scr');
     DeleteFile('C:\WINDOWS\system32\73.exe');
     DeleteFile('C:\WINDOWS\system32\88.exe');
     DeleteFile('C:\WINDOWS\system32\dn.exe');
     DeleteFile('C:\WINDOWS\system32\x');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RegKeyParamDel('HKCU', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    20.03.2008
    Сообщений
    66
    Вес репутации
    32
    Новые логи.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Duvcvf.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Duvcvf.exe');
     DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
     DeleteFile('C:\WINDOWS\system32\16.exe');
     DeleteFile('C:\WINDOWS\system32\23.exe');
     DeleteFile('C:\WINDOWS\system32\35.exe');
     DeleteFile('C:\WINDOWS\system32\47.exe');
     DeleteFile('C:\WINDOWS\system32\50.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=101863).
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    20.03.2008
    Сообщений
    66
    Вес репутации
    32
    В AVZ "Файл" -> "Просмотр карантина" ничего нет. Как называется тот файл, что я должен поместить в карантин и прислать? virusinfo_cure.zip?
    Новые логи прилагаю.
    Последний раз редактировалось atkins; 07.05.2011 в 18:04.

  7. #6
    Junior Member Репутация
    Регистрация
    20.03.2008
    Сообщений
    66
    Вес репутации
    32
    NOD32 вылавливает Win32/Injector.GCW троян

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\system32\38.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  9. #8
    Junior Member Репутация
    Регистрация
    20.03.2008
    Сообщений
    66
    Вес репутации
    32
    При попытке загрузить файл quarantine.zip выскакивает сообщение Ошибка загрузки. Данный файл уже был загружен Но я ничего не загружал.
    Новые логи прилагаю.
    Последний раз редактировалось atkins; 07.05.2011 в 21:56.

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,575
    Вес репутации
    2916
    Удалите в МВАМ только указанные ниже записи
    Код:
    Заражённые ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Bad: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe) Good: () -> No action taken.
    
    Заражённые папки:
    c:\RESTORE\k-1-3542-4232123213-7676767-8888886 (Trojan.Agent) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[1].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[2].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[4].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\dci[5].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\7[7].exe (Worm.Palevo.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0JTHXWDB\7[8].exe (Worm.Palevo.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\5VJ6VZC6\dci[1].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8VL4BPKP\dci[1].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8VL4BPKP\m39[2].exe (Worm.Palevo.Gen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8VL4BPKP\m96[1].exe (Worm.Palevo.Gen) -> No action taken.
    c:\documents and settings\администратор\djd.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\newcd1.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\newed1.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\application data\28B.tmp (Trojan.Agent.Gen) -> No action taken.
    c:\documents and settings\администратор\application data\duvcvf.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\01.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\17.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\17.tmp (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\1B.tmp (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\84.tmp (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\8E.tmp (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\acleaner.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\bnet.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\c[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\syitm.exe (Trojan.Agent.Gen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\ms3[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\ms4[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\ms4[1]_0.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\m[1].exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\nd44[1].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\nd44[2].exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\27.exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\61.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\t7vd.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\vsbntlo.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\winmap.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\winmap_0.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\xdx.exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\zpp[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\z[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\33.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\33_____0.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\36_____0.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\3F.tmp (Trojan.Agent.Gen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\41.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\41.tmp (Trojan.Agent.Gen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\42.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\52.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\fdmix.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\ghdrive32.exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\hdcd.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\hddd.exe (Worm.PalDot.Gen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\new1.exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\new1[1]0.exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\new2[1].exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администратор\doctorweb\quarantine\new2[2].exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\TWVW5SZP\n[1].exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\04.exe (Trojan.Agent) -> No action taken.
    c:\WINDOWS\system32\84.exe (Trojan.Agent) -> No action taken.
    e:\Игры\железная лягушка.exe (Trojan.Dropper) -> No action taken.
    e:\Игры\храм инков.exe (Trojan.Dropper) -> No action taken.
    c:\WINDOWS\system32\umdmgr.log (IRCBot.Trace) -> No action taken.
    c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini (Trojan.Agent) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    20.03.2008
    Сообщений
    66
    Вес репутации
    32
    Указанные записи удалил. Новый MBAM-лог прилагаю.

  12. #11
    Junior Member Репутация
    Регистрация
    20.03.2008
    Сообщений
    66
    Вес репутации
    32
    Троян Win32/Injector.GCW уже не ломится, но все равно всплывают уведомления об ошибках в обращении к памяти по адресу****. Помогите, пожалуйста, господа хелперы.

    Добавлено через 3 часа 28 минут

    Новая проверка AVZ требуется?
    Последний раз редактировалось atkins; 09.05.2011 в 20:04. Причина: Добавлено

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - удалите в MBAM
    Код:
    Заражённые процессы в памяти:
    c:\WINDOWS\ghdrive32.exe (Trojan.Agent) -> 1612 -> Not selected for removal.
    c:\documents and settings\администратор\application data\6C.tmp (Trojan.Agent) -> 2940 -> Not selected for removal.
    
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> Not selected for removal.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> Not selected for removal.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-12SF-N85P (Worm.AutoRun.Gen) -> Value: 12CFG214-K641-12SF-N85P -> Not selected for removal.
    
    Заражённые папки:
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Not selected for removal.
    
    Заражённые файлы:
    c:\WINDOWS\ghdrive32.exe (Trojan.Agent) -> Not selected for removal.
    c:\documents and settings\администратор\application data\6C.tmp (Trojan.Agent) -> Not selected for removal.
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.AutoRun.Gen) -> Not selected for removal.
    c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Not selected for removal.
    Отключите Системное восстановление!!! как- посмотреть можно тут
    - Выполните скрипт в AVZ
    Код:
    begin
     DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  14. #13
    Junior Member Репутация
    Регистрация
    20.03.2008
    Сообщений
    66
    Вес репутации
    32
    Восстановление системы отключил еще в самом начале лечения.
    Указанные строки в MBAM удалил.
    Сделал проверку AVZ и hijackthis. Новые логи прилагаю.
    После этого запустил новое сканирование MBAM. Лог прилагаю.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      DeleteFile('C:\Documents and Settings\Администратор\Application Data\Duvcvf.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Duvcvf');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  16. #15
    Junior Member Репутация
    Регистрация
    20.03.2008
    Сообщений
    66
    Вес репутации
    32
    Новый лог.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    чисто

  • Уважаемый(ая) atkins, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Toshiba выпустила "одноразовую" карту памяти
      От CyberWriter в разделе Новости аппаратного обеспечения
      Ответов: 1
      Последнее сообщение: 13.07.2011, 18:10
    2. Ответов: 2
      Последнее сообщение: 10.07.2010, 00:00
    3. Microsoft обновила "пиратскую" карту России
      От ALEX(XX) в разделе Другие новости
      Ответов: 0
      Последнее сообщение: 19.05.2010, 10:46
    4. "Навител Навигатор" выпустил официальную карту Казахстана
      От Сyberwriter в разделе Новости программного обеспечения
      Ответов: 0
      Последнее сообщение: 29.03.2010, 15:40
    5. Ответов: 0
      Последнее сообщение: 07.03.2008, 09:20

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01000 seconds with 21 queries