Показано с 1 по 19 из 19.

Подозрения на вирусы :( помогите, плс, разобраться (заявка № 13868)

  1. #1
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    34

    Thumbs up Подозрения на вирусы :( помогите, плс, разобраться

    Доборого времени, хелперы! вроде защитил свой комп "по науке", но кажется где-то зацепил зловред. Подозрения связаны с те что:1. Комп периодически зависает, при этом 100% ресурсов съедают две проги - АутПост и csrss.exe и вдруг появляется нехватка виртуальной памяти2. Иногда при попытке запуска Вордовских файлов запускаются не сами файлы, а Windows-installer3. AVZ стал работать с ошибками, он стал видеть не все запущенные процессы , но зато он стал замечать уязвимости, которые ранее не было До этого при проверке антивирусом AVZ на уязвимости, комп не имел ни одной видимой уязвимости.т.к. не получается приаттачить файлы логов здесь, я их выложил на файлообменнике:
    Последний раз редактировалось alex_2007; 04.11.2007 в 20:57.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    http://www.filemaster.ru/files/i3441 - это карантин, затрите вашу ссылку

  4. #3
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    34
    не может быть, я там прикрепил файл: virusinfo_syscheck.zipесли я не прав, то файл выложу повторно. а как затереть ссылку или отредактировать свой первый пост?

    Добавлено через 1 минуту

    случайно все ссылки снёс
    Последний раз редактировалось alex_2007; 04.11.2007 в 20:57. Причина: Добавлено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Поищите через AVZ файл ie.exe - если найдете, добавьте в карантин и пришлите по приложению 3 Правил

    Добавлено через 1 минуту

    В ссылках были - hijackthis.log, virusinfo_syscheck.zip, virusinfo_cure.zip...
    Вместо virusinfo_cure.zip загрузите visusinfo_syscure.zip
    Последний раз редактировалось rubin; 04.11.2007 в 20:59. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    34
    Выложить по правилам ie.exe не получается AVZ выдаёт сообщение: "Ошибка карантина файла, попытка прямого чтения (С:\Windows\system32\ie.exe) Карантин с использованием прямого чтения - ошибка"Можно я его сам заархивирую паролем и выложу?А с логами я видать протупил и не тот лог сделал, сейчас исправлюсь, извините.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Ну адрес файла мы определили, можете либо сами в архив с паролем отправить, либо выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Windows\system32\ie.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    и загрузите карантин по приложению 3 Правил

  8. #7
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    34
    Бермудский треугольник какой-то Файла ie.exe по адресу C:\Windows\system32\ie.exe - НЕТ! Видимо по этой причине его AVZ в карантин скопировать не может ни своими силами, ни при помощи специально написанного скрипта А вместо этого пишет про ошибку прямого чтения...А вот лог-файл visusinfo_syscure.zip я сделал и выложил по адресу: http://www.filemaster.ru/files/i3448

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    1. Попробуем так...
    Код:
    begin
     QuarantineFile('ie.exe','');
    end.
    Если закарантинится, то прикрепите карантин согласно приложению 3 Правил.
    2. Затем
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('G:\autorun.inf','');
     DeleteFile('G:\autorun.inf');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    3. Что вам из этого не нужно?
    Код:
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    В остальном логи чисты...

  10. #9
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    34
    1. Увы, он не попал в карантин . Его не находит и Windows при поиске файла. Может этот паразит сам себе поменял название? Я могу выслать скриншот всех файлов изменённых от... до... 2. Второй скрипт сейчас нужно выполнять? 3. Обе эти уязвимости мне не нужны, я хочу эти дырки закрыть, пока точно не знаю какие службы отключить >> Безопасность: Разрешены терминальные подключения к данному ПК>> Безопасность: Разрешена отправка приглашений удаленному помошнику

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    1. Его в логах и не было... просто в карантиненном autorun.inf был запуск этой программы, возможно она была удалена ранее.
    2. Выполните
    3. Скажите, если не нужны - пофиксим

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    наверно стоит выполнить это

  13. #12
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    34
    1. п.2 выполнил.2. дырки мне, конечно, не нужны. давайте пофиксим, скажите, плиз, как.3. по поводу сказаного V_Bond на http://virusinfo.info/showthread.php?t=8877 хочу спросить: можно ли для автоматизации процесса задать поиск файлов по названию "autorun" и одним махом их всех удалить? чтоб не лазить руками по всем папкам, у меня их немеряно..

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
    RebootWindows(true);
    end.
    Можно задать в AVZ поиск файлов по маске autorun.*, там и удалить

  15. #14
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    34
    всё выполнил, но:
    две "дырки"-уязвимости сохранились а у AVZ не включается функция AVZGuard пишет ошибку "Ошибка AVZGuard: С0000061"
    при удалении ключа из реестра " HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2." его удаётся удалить только для "текущего пользователя", а для прочих USERS этот ключ не удаляется. это нормально?

    Добавлено через 3 минуты

    Я не давно обновлял АутПост с версии 3.0 до версии 5.0. Может комп чист, а новый АутПост вредничает? никто на него не жаловался?
    Последний раз редактировалось alex_2007; 05.11.2007 в 00:47. Причина: Добавлено

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    на всякий случай выполните скрипт ....
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(17);
    ExecuteRepair(16);
    end.
    у вас все пользователи с правами админа .... значит ключ реестра удалите для каждого

  17. #16
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    34
    Извините, я заморочился сам и Вам голову заморочил, но кажется разобрался почти во всём. Все эти траблы оказываются только в режиме, когда я работаю с правами юзера, а врежиме админа остаётся только глюк с Аутпостом 5.0. и csrss.exe. Я поговорил с парнями которые тоже юзают новый Аутпост, тоже грешат на этот глюк. Понять толком не могу почему у меня под юзером AVZ работает глючно, но аналог "мнимой" глючности под юзером, описан на Вашем сайте, только для НОД32.Так что извините, пожалуйста, за беспокойство я Вам очень благодарен за помощь! А вот ещё, а почему Вы говорите, что у меня вся работают под админами? Я же точно сделал, всё как написано в книге Н.Головко "Безопасный интернет...." только одну запись админа, а все остальные юзерские?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    вы все верно сделали ... я просто у вас уточнял....

  19. #18
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    34
    Спасибо! А почему на сайте решили, что благодарность можно выслать по теме только одному, даже если помогали два хелпера? несправедливость получается

    Добавлено через 44 секунды

    не ошибся, всё в норме
    Последний раз редактировалось alex_2007; 05.11.2007 в 21:33. Причина: Добавлено

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  • Уважаемый(ая) alex_2007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 9
      Последнее сообщение: 23.01.2012, 23:23
    2. подозрения на вирусы!!Помогите!!!
      От Dron23 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.10.2011, 23:38
    3. Ответов: 4
      Последнее сообщение: 11.01.2010, 03:13
    4. Ответов: 5
      Последнее сообщение: 29.11.2009, 23:08
    5. Помогите! Есть подозрения на вирусы
      От Klaster в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 06:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00195 seconds with 20 queries