Показано с 1 по 20 из 20.

после установки нового антивируса одолели вирусы (заявка № 26821)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    32

    Thumbs up после установки нового антивируса одолели вирусы

    Установил новый антивирус.Он нашел пару десятков вирусов.Справиться с ними не может и не дает работать,приходиться постоянно еге отключать.В целом компюьтер работает, но сильно тормозит.

    Антивирус находит TR/Dldr.Agent, но ничего с ним сделать не может
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 21.07.2008 в 16:17.

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Отключите антивирус и интернет!

    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\regwiz.exe,
    O4 - HKCU\..\Run: [Firewall auto setup] C:\WINDOWS\TEMP\winlogon.exe
    O4 - HKCU\..\Run: [herjek] C:\WINDOWS\herjek.exe
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    O4 - HKUS\S-1-5-18\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [totacon] C:\WINDOWS\totacon.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'Default user')
    O17 - HKLM\System\CCS\Services\Tcpip\..\{646E2D26-0C7A-454C-837C-C4B1F8DDA2DB}: NameServer = 85.255.116.94,85.255.112.62
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A9B6E160-8512-465D-99EE-73F3DC5EBBE9}: NameServer = 192.168.1.1
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.94 85.255.112.62
    O17 - HKLM\System\CS1\Services\Tcpip\..\{646E2D26-0C7A-454C-837C-C4B1F8DDA2DB}: NameServer = 85.255.116.94,85.255.112.62
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.94 85.255.112.62
    O19 - User stylesheet: C:\WINDOWS\387667.css
    O20 - Winlogon Notify: WinCtrl - C:\WINDOWS\SYSTEM32\WinCtrl.dll
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
     QuarantineFile('globalroot\systemroot\system32\drivers\clbdriver.sys','');
     QuarantineFile('C:\WINDOWS\twain_16.dll','');
     QuarantineFile('kdkpr.exe','');
     QuarantineFile('WinCtrl.dll','');
     QuarantineFile('C:\WINDOWS\totacon.exe','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\herjek.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf84.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\msthreat.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl.dll','');
     QuarantineFile('C:\WINDOWS\system32\msthreat.dll','');
     QuarantineFile('C:\WINDOWS\system32\baseiolg32.dll','');
     DeleteService('runtime2');
     DeleteService('kprof');
     DeleteService('Uaf84');
     DeleteService('Secdrv');     
     DeleteService('tcpsr');     
     DeleteFile('C:\WINDOWS\system32\baseiolg32.dll');
     DeleteFile('C:\WINDOWS\system32\msthreat.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS');
     DeleteFile('C:\WINDOWS\system32\kprof');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\msthreat.sys ');     
     DeleteFile('C:\WINDOWS\System32\Drivers\Uaf84.sys');
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
     DeleteFile('C:\WINDOWS\herjek.exe');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\WINDOWS\totacon.exe');
     DeleteFile('WinCtrl.dll');
     DeleteFile('kdkpr.exe');
     DeleteFile('globalroot\systemroot\system32\drivers\clbdriver.sys');
     DeleteFile('C:\WINDOWS\system32\amvo1.dll');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile(' C:\WINDOWS\system32\kdkpr.exe');     
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('runtime2 ');
    BC_DeleteSvc('kprof ');
    BC_DeleteSvc('Uaf84 ');
    BC_DeleteSvc('Secdrv ');
    BC_DeleteSvc('tcpsr ');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    32
    уже есть изменения
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\WINDOWS\system32\userinit.exe - Trojan.Win32.Pakes.ddu нужно заменить на чистый ...
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\twain_16.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\Userinit.exe','');
     DeleteService('qqd.sys');
     QuarantineFile('C:\qqd.sys','');
     DeleteService('poof');
     QuarantineFile('C:\WINDOWS\system32\poof','');
     DeleteFile('C:\WINDOWS\system32\poof');
     DeleteFile('C:\qqd.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    32
    если честно не понял что необходимо сделать скрипта

    Добавлено через 1 минуту

    извини, вопрос до скрипта
    Последний раз редактировалось msi; 22.07.2008 в 12:45. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996

  8. #7
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    32
    готовлю логи

    Добавлено через 17 минут

    карантин пуст ,для обнаружения сделал все, сейчас вылетает TR/CRIPT.XPACK.GEN, что делать
    Последний раз редактировалось msi; 22.07.2008 в 13:37. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Замените файл C:\WINDOWS\system32\userinit.exe файлом с дистрибутива или из папки C:\WINDOWS\ServicePackFiles\i386. Нужно загрузиться с любого LIVE-CD и заменить.
    Потом сделайте логи по правилам.

  10. #9
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    32
    все указанное сделал,высылаю логи
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    В логах чисто. Как работает система? Нужно установить Сервис Пак 3.

  12. #11
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    32
    Сканирую диски ....по результатам видно будет

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от msi Посмотреть сообщение
    Сканирую диски ...
    Чем сканируете?

  14. #13
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    32
    смущает в ветке run реестра параметр
    KernelFaultCheck со значением %systemroot%\system32\dumprep 0 -k

    Добавлено через 36 секунд

    Avir Antivir

    Добавлено через 44 секунды

    Странно но DrWeb до вообще ничего не находил
    Последний раз редактировалось msi; 22.07.2008 в 15:20. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    По порядку:
    1.
    Код:
    %systemroot%\system32\dumprep 0 -k
    - можно пофиксить, чтобы не смущал. Это дамп от Др.Ватсона.
    2. Avir Antivir...Странно но DrWeb до вообще ничего не находил
    Ничего странного: Детект у Авиры намного лучше, хотя и ложняков много. Если какие-то файлы Авира задетектит, как вирус, а Вы в этом сомневаетесь, закачайте их тут: http://analysis.avira.com/samples/index.php

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от msi Посмотреть сообщение
    TR/Agent.gnw Trojan -Avir нашел
    WORM/zhelatin.yw
    В каких файлах нашел? Плиз эти файлы закачайте по приложению 2 и 3 правил.
    Сканлог Авиры прикрепите после окончания скана к сообщению.

  17. #16
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    32
    TR/Agent.gnw Trojan -Avir нашел

    Добавлено через 53 секунды

    WORM/zhelatin.yw

    RKT/clbd.bj

    Добавлено через 13 минут

    если честно не пойму как сформировать карантин
    из файлов которые Avir нашел

    Добавлено через 7 минут

    log avir выслал посмотреть
    карантин из файлов по списку не удается сфорсировать-avz пишет ошибка прямого чтения

    Добавлено через 1 минуту

    "сфорсировать"- сформировать :-)
    Последний раз редактировалось msi; 22.07.2008 в 15:51. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от msi Посмотреть сообщение
    если честно не пойму как сформировать карантин
    из файлов которые Avir нашел
    эти файлы переименованы и находятся в папке Quarantine где-то в папке Авиры - читайте мануал
    Цитата Сообщение от msi Посмотреть сообщение
    log avir выслал посмотреть
    Кому? Читайте что и как высылать в моих предыдущих сообщениях.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    AVZ - Сервис - Поиск файлов на диске - Найти файлы в карантине Авиры и добавить их в карантин AVZ
    Затем зархивировать и прислать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    32
    авир справился с последними проблемами,как выразить вам благодарность за оказанную помощь?

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,529
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 50
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.AutoRun.ehx
      2. c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.sisd (DrWEB: Trojan.Nsanti.Packed)
      3. c:\\windows\\system32\\kdkpr.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.14)
      4. c:\\windows\\system32\\userinit.exe - Trojan.Win32.Pakes.ddu (DrWEB: Trojan.PWS.FTPlich.2)
      5. c:\\windows\\system32\\winctrl.dll - Trojan.Win32.Inject.dki (DrWEB: Trojan.Inject.4604)
      6. c:\\windows\\totacon.exe - Email-Worm.Win32.Zhelatin.za (DrWEB: Trojan.Packed.46
      7. d:\\autorun.inf - Worm.Win32.AutoRun.ehx


  • Уважаемый(ая) msi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 16.10.2009, 01:19
    2. Ответов: 5
      Последнее сообщение: 31.05.2009, 21:52
    3. Ответов: 6
      Последнее сообщение: 27.05.2009, 20:53
    4. Ответов: 5
      Последнее сообщение: 20.10.2008, 21:33
    5. Пропала сеть после установки антивируса
      От Marginal в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.12.2007, 18:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01084 seconds with 24 queries