логи прилагаю
Вложение 483613Вложение 483614Вложение 483615
логи прилагаю
Вложение 483613Вложение 483614Вложение 483615
Уважаемый(ая) olegyam, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\WINDOWS\system32\linkdel.cmd',''); QuarantineFile('C:\WINDOWS\TEMP\UIUCU.EXE',''); QuarantineFile('C:\WINDOWS\system32\desktop.reg',''); DeleteFile('C:\WINDOWS\TEMP\UIUCU.EXE','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','UIUCU'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); SetAVZPMStatus(false); end.
Самостоятельно настройки AVZ не меняйте!
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог полного сканирования МВАМ.
MD5 карантина: DA8E416CEE1541597B5D229BAF4A54EE
Размер файла: 54526082 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.
- - - Добавлено - - -
Карантин прислал
MD5 карантина: A9292BDD8AF0E313DAEEE680F1F3D2B1
- - - Добавлено - - -
вот логи
Вложение 483691
Вложение 483692
карантин пустой
Remote Office Manager не ставил
Malware сканирует но при попытке записать лог вываливается с ошибкой
Последний раз редактировалось olegyam; 09.07.2014 в 23:41.
ЕСТЬ
Файл сохранён как 140709_194452_DESKTOP_53bd9bb45206f.zip
Mbam сканирует но при попытке записать лог вываливается с ошибкой
Лог Mbam
Вложение 483718
Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:C:\Documents and Settings\Tatiana\Мои документы\wclient01_copy_130810\genmenu.exe C:\Documents and Settings\Дергачева\Application Data\QipGuard\QipGuard.exe
+ проверьте на http://www.virustotal.com/ ссылки на результат проверки напишите здесь.
Удалите в MBAM только
Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.Код:HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters|ServiceDll (Hijack.LanmanServer) -> Плохо: (%CommonProgramFiles%\SpeechEngines\Microsoft\SPys\midpatUI.gnt) Хорошо: (%SystemRoot%\System32\srvsvc.dll) -> Действие не было предпринято.
Файл сохранён как 140709_214145_!!_53bdb71986d8b.zip
----------------------
This file was last analysed by VirusTotal on 2012-09-23 18:56:35 UTC, it was first analysed by VirusTotal on 2010-07-26 14:53:38 UTC.
Показатель выявления: 1/31
Антивирус Результат Дата обновления
Malwarebytes Trojan.Inject 20140709
AVG 20140709
Ad-Aware 20140709
AegisLab 20140709
Agnitum 20140709
AhnLab-V3 20140709
AntiVir 20140709
Antiy-AVL 20140709
Avast 20140709
Baidu-International 20140709
BitDefender 20140709
Bkav 20140709
ByteHero 20140709
CAT-QuickHeal 20140709
CMC 20140707
ClamAV 20140709
Commtouch 20140709
Comodo 20140709
DrWeb 20140709
ESET-NOD32 20140709
Emsisoft 20140709
F-Prot 20140709
F-Secure 20140709
Fortinet 20140709
GData 20140709
Ikarus 20140709
Jiangmin 20140709
K7AntiVirus 20140709
K7GW 20140709
Kaspersky 20140709
Kingsoft 20140709
McAfee 20140709
McAfee-GW-Edition 20140709
MicroWorld-eScan 20140709
Microsoft 20140709
NANO-Antivirus 20140709
Norman 20140709
Panda 20140709
Qihoo-360 20140709
Rising 20140709
SUPERAntiSpyware 20140709
Sophos 20140709
Symantec 20140709
Tencent 20140709
TheHacker 20140708
TotalDefense 20140709
TrendMicro 20140709
TrendMicro-HouseCall 20140709
VBA32 20140709
VIPRE 20140709
ViRobot 20140709
Zillya 20140709
Zoner 20140708
nProtect 20140709
--------------------------------
SHA256: 76b11314e9f95ad2ec78541684d5c89d6fd11fa5dc2ce968e1 03c22cd242ae45
Имя файла: QipGuard.exe
Показатель выявления: 0 / 54
- - - Добавлено - - -
Последний раз редактировалось olegyam; 10.07.2014 в 01:54.
Запущен поиск ключей, содержащих образец "webalta"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_1106&DEV_3106&SUBSYS_14051186&REV_8B\4&cf81c54& 0&00F0\webalta\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_10DE&SUBSYS_3048103C&REV_02\3&b1bfb68& 0&C8\webalta\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_2E12&SUBSYS_3048103C&REV_03\3&b1bfb68& 0&10\webalta\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_2E13&SUBSYS_3048103C&REV_03\3&b1bfb68& 0&11\webalta\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_2E32&SUBSYS_D6128086&REV_03\3&11583659 &0&10\webalta\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_3A67&SUBSYS_3048103C&REV_02\3&b1bfb68& 0&D0\webalta\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_3A69&SUBSYS_3048103C&REV_02\3&b1bfb68& 0&D2\webalta\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_3A6A&SUBSYS_3048103C&REV_02\3&b1bfb68& 0&EF\webalta\ =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI\V EN_8086&DEV_3A6C&SUBSYS_3048103C&REV_02\3&b1bfb68& 0&D7\webalta\ =
-- Поиск в HKEY_CURRENT_USER --
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\App Management\ARPCache\Webalta Toolbar\ =
-- Поиск в HKEY_CLASSES_ROOT --
-- Поиск завершен --
Просмотрено ключей: 221535
- - - Добавлено - - -
Mbam Log
Вложение 483723
MBAM деинсталируйте.
еще раз запустите в AVZ поиск webalta, кликните ПКМ по списку, нажмите "выбрать все". Нажмите "Создать reg файл с отменными ключами". Полученный файл заархивируйте и прикрепите к своему сообщению После этого ПКМ по спику с ключами и кнопку удалить.
Что с проблемой?
Вложение 483904
Спасибо.
Дело в том что Нод обычно с утра ругался
что в оперативной памяти ...
сегодня - это не произошло.
Похоже Вы помогли.
Спасибо Вам огромное.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) olegyam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.