Показано с 1 по 20 из 20.

после установки нового антивируса одолели вирусы (заявка № 26821)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    59

    Thumbs up после установки нового антивируса одолели вирусы

    Установил новый антивирус.Он нашел пару десятков вирусов.Справиться с ними не может и не дает работать,приходиться постоянно еге отключать.В целом компюьтер работает, но сильно тормозит.

    Антивирус находит TR/Dldr.Agent, но ничего с ним сделать не может
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 21.07.2008 в 16:17.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Отключите антивирус и интернет!

    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\regwiz.exe,
    O4 - HKCU\..\Run: [Firewall auto setup] C:\WINDOWS\TEMP\winlogon.exe
    O4 - HKCU\..\Run: [herjek] C:\WINDOWS\herjek.exe
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    O4 - HKUS\S-1-5-18\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [totacon] C:\WINDOWS\totacon.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'Default user')
    O17 - HKLM\System\CCS\Services\Tcpip\..\{646E2D26-0C7A-454C-837C-C4B1F8DDA2DB}: NameServer = 85.255.116.94,85.255.112.62
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A9B6E160-8512-465D-99EE-73F3DC5EBBE9}: NameServer = 192.168.1.1
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.94 85.255.112.62
    O17 - HKLM\System\CS1\Services\Tcpip\..\{646E2D26-0C7A-454C-837C-C4B1F8DDA2DB}: NameServer = 85.255.116.94,85.255.112.62
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.94 85.255.112.62
    O19 - User stylesheet: C:\WINDOWS\387667.css
    O20 - Winlogon Notify: WinCtrl - C:\WINDOWS\SYSTEM32\WinCtrl.dll
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
     QuarantineFile('globalroot\systemroot\system32\drivers\clbdriver.sys','');
     QuarantineFile('C:\WINDOWS\twain_16.dll','');
     QuarantineFile('kdkpr.exe','');
     QuarantineFile('WinCtrl.dll','');
     QuarantineFile('C:\WINDOWS\totacon.exe','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\herjek.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf84.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\msthreat.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl.dll','');
     QuarantineFile('C:\WINDOWS\system32\msthreat.dll','');
     QuarantineFile('C:\WINDOWS\system32\baseiolg32.dll','');
     DeleteService('runtime2');
     DeleteService('kprof');
     DeleteService('Uaf84');
     DeleteService('Secdrv');     
     DeleteService('tcpsr');     
     DeleteFile('C:\WINDOWS\system32\baseiolg32.dll');
     DeleteFile('C:\WINDOWS\system32\msthreat.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS');
     DeleteFile('C:\WINDOWS\system32\kprof');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\msthreat.sys ');     
     DeleteFile('C:\WINDOWS\System32\Drivers\Uaf84.sys');
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
     DeleteFile('C:\WINDOWS\herjek.exe');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\WINDOWS\totacon.exe');
     DeleteFile('WinCtrl.dll');
     DeleteFile('kdkpr.exe');
     DeleteFile('globalroot\systemroot\system32\drivers\clbdriver.sys');
     DeleteFile('C:\WINDOWS\system32\amvo1.dll');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile(' C:\WINDOWS\system32\kdkpr.exe');     
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('runtime2 ');
    BC_DeleteSvc('kprof ');
    BC_DeleteSvc('Uaf84 ');
    BC_DeleteSvc('Secdrv ');
    BC_DeleteSvc('tcpsr ');    
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    59
    уже есть изменения
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\system32\userinit.exe - Trojan.Win32.Pakes.ddu нужно заменить на чистый ...
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\twain_16.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\Userinit.exe','');
     DeleteService('qqd.sys');
     QuarantineFile('C:\qqd.sys','');
     DeleteService('poof');
     QuarantineFile('C:\WINDOWS\system32\poof','');
     DeleteFile('C:\WINDOWS\system32\poof');
     DeleteFile('C:\qqd.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    59
    если честно не понял что необходимо сделать скрипта

    Добавлено через 1 минуту

    извини, вопрос до скрипта
    Последний раз редактировалось msi; 22.07.2008 в 12:45. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023

  8. #7
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    59
    готовлю логи

    Добавлено через 17 минут

    карантин пуст ,для обнаружения сделал все, сейчас вылетает TR/CRIPT.XPACK.GEN, что делать
    Последний раз редактировалось msi; 22.07.2008 в 13:37. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Замените файл C:\WINDOWS\system32\userinit.exe файлом с дистрибутива или из папки C:\WINDOWS\ServicePackFiles\i386. Нужно загрузиться с любого LIVE-CD и заменить.
    Потом сделайте логи по правилам.

  10. #9
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    59
    все указанное сделал,высылаю логи
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах чисто. Как работает система? Нужно установить Сервис Пак 3.

  12. #11
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    59
    Сканирую диски ....по результатам видно будет

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от msi Посмотреть сообщение
    Сканирую диски ...
    Чем сканируете?

  14. #13
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    59
    смущает в ветке run реестра параметр
    KernelFaultCheck со значением %systemroot%\system32\dumprep 0 -k

    Добавлено через 36 секунд

    Avir Antivir

    Добавлено через 44 секунды

    Странно но DrWeb до вообще ничего не находил
    Последний раз редактировалось msi; 22.07.2008 в 15:20. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    По порядку:
    1.
    Код:
    %systemroot%\system32\dumprep 0 -k
    - можно пофиксить, чтобы не смущал. Это дамп от Др.Ватсона.
    2. Avir Antivir...Странно но DrWeb до вообще ничего не находил
    Ничего странного: Детект у Авиры намного лучше, хотя и ложняков много. Если какие-то файлы Авира задетектит, как вирус, а Вы в этом сомневаетесь, закачайте их тут: http://analysis.avira.com/samples/index.php

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от msi Посмотреть сообщение
    TR/Agent.gnw Trojan -Avir нашел
    WORM/zhelatin.yw
    В каких файлах нашел? Плиз эти файлы закачайте по приложению 2 и 3 правил.
    Сканлог Авиры прикрепите после окончания скана к сообщению.

  17. #16
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    59
    TR/Agent.gnw Trojan -Avir нашел

    Добавлено через 53 секунды

    WORM/zhelatin.yw

    RKT/clbd.bj

    Добавлено через 13 минут

    если честно не пойму как сформировать карантин
    из файлов которые Avir нашел

    Добавлено через 7 минут

    log avir выслал посмотреть
    карантин из файлов по списку не удается сфорсировать-avz пишет ошибка прямого чтения

    Добавлено через 1 минуту

    "сфорсировать"- сформировать :-)
    Последний раз редактировалось msi; 22.07.2008 в 15:51. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от msi Посмотреть сообщение
    если честно не пойму как сформировать карантин
    из файлов которые Avir нашел
    эти файлы переименованы и находятся в папке Quarantine где-то в папке Авиры - читайте мануал
    Цитата Сообщение от msi Посмотреть сообщение
    log avir выслал посмотреть
    Кому? Читайте что и как высылать в моих предыдущих сообщениях.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    AVZ - Сервис - Поиск файлов на диске - Найти файлы в карантине Авиры и добавить их в карантин AVZ
    Затем зархивировать и прислать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    42
    Вес репутации
    59
    авир справился с последними проблемами,как выразить вам благодарность за оказанную помощь?

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 50
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.AutoRun.ehx
      2. c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.sisd (DrWEB: Trojan.Nsanti.Packed)
      3. c:\\windows\\system32\\kdkpr.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.14)
      4. c:\\windows\\system32\\userinit.exe - Trojan.Win32.Pakes.ddu (DrWEB: Trojan.PWS.FTPlich.2)
      5. c:\\windows\\system32\\winctrl.dll - Trojan.Win32.Inject.dki (DrWEB: Trojan.Inject.4604)
      6. c:\\windows\\totacon.exe - Email-Worm.Win32.Zhelatin.za (DrWEB: Trojan.Packed.46
      7. d:\\autorun.inf - Worm.Win32.AutoRun.ehx


  • Уважаемый(ая) msi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 16.10.2009, 01:19
    2. Ответов: 5
      Последнее сообщение: 31.05.2009, 21:52
    3. Ответов: 6
      Последнее сообщение: 27.05.2009, 20:53
    4. Ответов: 5
      Последнее сообщение: 20.10.2008, 21:33
    5. Пропала сеть после установки антивируса
      От Marginal в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.12.2007, 18:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01102 seconds with 18 queries