Показано с 1 по 19 из 19.

semo2x.exe и прочие зверушки (заявка № 27091)

  1. #1
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    51
    Вес репутации
    58

    Question semo2x.exe и прочие зверушки

    Вообщем недавно сидел в инете и выскочило сообщение со щитами фаервола. Там было написано что-то вроде: windows file is corrupted и предлогалось загрузить якобы антивирус. Кнопки да и нет не нажимал. Только в оффлайне для проверки нажал на "Да", чтобы удостовериться тот же ли у меня вирь, как и потом нашел описание. Вообщем пересылало при нажатии на ie-antivirus.com и точно не помню, вроде free-antivirus.com
    После этого я снес винду, но само собой не помогло, так как отформатировать надо весь винт, а я рассчитывал только на диск С. Но до форматирования, я с нескольких раз только мог открыть папки и каждая попытка открытия сопровождалась дикими тормозами и выдачей ошибки и сообщений с предложениями загрузить эти "антивирусы" .Скрытые файлы не открываются. Ставишь галочку на показывать, после "ок" она убирается. NOD 32 c обновлениями за 17.07.2008 обнаружил semo2x.exe но удалить не смог. Самое интересное, что после того, как он либо удалял этот трой Win32/PSW.OnLineGames.NLI и вирус Win32/Pacex.Gen они с 21 по 23 вновь создавались и NOD 32 их снова блокировал. С 24 и по настоящее время больше не появлялись, хотя компом пользовался так же. С 21 по 23 вирусы перезаписывались не сразу после запуска винды, а в течение работы. Помогите пожалуйста.
    Вложения Вложения
    Последний раз редактировалось Black Jack; 26.07.2008 в 01:24.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    51
    Вес репутации
    58
    Вот логи NOD 32 еще. Не получилось прикрепить файлик в архиве .
    moderated:::Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip), если Вас об этом не просили.
    Последний раз редактировалось Rene-gad; 26.07.2008 в 15:09.

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Отключите антивирус!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);    
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=27091

    Повторите логи начиная с п.10 правил...

  5. #4
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    51
    Вес репутации
    58
    Прислал карантин, закрепляю логи.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах чисто. Сервис Пак 3 поставьте.

  7. #6
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    51
    Вес репутации
    58
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    В логах чисто. Сервис Пак 3 поставьте.
    Все больше ничего не надо делать ? Я как раз собираюсь переустанавливать виндовс, и имено с SP3. Большое спасибо Вам и Грише, так меня этот вирь грузил, а времени с ним разобраться все не было.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Black Jack Посмотреть сообщение
    Я как раз собираюсь переустанавливать виндовс
    Нескромный вопрос: А на зачем Вы тогда вирус удаляли?

  9. #8
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    51
    Вес репутации
    58
    Забыл спросить. У меня теперь нет вообще вирусов. А то по скрипту видно, что удаляет он только один DeleteFile('C:\WINDOWS\system32\amvo.exe')
    А то как бы после переустановки винды мои зверушки опять бы не вырвались на свободу. НОД то снесется и карантина не будет.

    Добавлено через 5 минут

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Нескромный вопрос: А на зачем Вы тогда вирус удаляли?
    Так после того как у меня этот вирь появился, что тормоза жуткие и в папку не зайдешь, я винду сразу снес, т.к. антивирус не помог. только я ее поставил, сразу полез в скрытые папки и файлы. До этого не мог туда зайти. Они тогда появились на 2 секунды и тут же пропали. Т.е. форматировать весь винт нет возможности, инфу жалко, а переписывать на чужой комп, сами понимаете, вири же проживали. Тут же поставил NOD semo2x.exe пошел работать, т.е. он прописался, как видно из лога NOD на всех дисках.
    Последний раз редактировалось Black Jack; 26.07.2008 в 15:16. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ставьте новую систему и Сервис Пак 3 в оффлайне. Перед подключением в Онлайн установите Антивирус (НОД или какой другой) и актвируйте Виндовс-Файрвол. Посетите сервер обновлений Микрососфта www.windowsupdate.com и установите все важные апдейты и патчи.
    Потом скачайте Файрфох и/или Опера для гуляния по интернету, включите здравый смысл - и с песнями вперед.

  11. #10
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    51
    Вес репутации
    58
    Еще вот интересно, почему вирус перезаписывался 3 дня подряд, а потом перестал. Я думал он так до бесконечности будет. НОД его после перезаписи тут же находил и в карантин, а он по прошествии некоторого времени создавался вновь с другим именем.

    Добавлено через 24 минуты

    Хм , а фиксить с помощбю ХайДжека ничего не надо?

    Добавлено через 4 часа 1 минуту

    Возник еще один вопрос. Отключился ли мой антивирь, когда я делал логи? У меня NOD 32. Я нажимал "Отключить защиту от вирусов и шпионских программ" в строке пуска. Щас проверить только догадался: при отключении NOD его иконка с зеленой меняется на красную, но из процессов он не исчезает и вручную тоже не удалось его завершить. Процесс называется ekrn.exe При попытке завершения процесса, он просто меняет свое положение в списке, но не завершается. Не оказало ли это влияния на логи ?
    Последний раз редактировалось Black Jack; 26.07.2008 в 19:46. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Black Jack Посмотреть сообщение
    При попытке завершения процесса, он просто меняет свое положение в списке, но не завершается.
    Это самозащита Антивируса.
    Чтобы его действительно отключить нужно действовать через службы, т.е. отключить или остановить службы связанную с приложением.

  13. #12
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    51
    Вес репутации
    58
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Это самозащита Антивируса.
    Чтобы его действительно отключить нужно действовать через службы, т.е. отключить или остановить службы связанную с приложением.
    Так чтобы сделанные логи были правильные, достаточно ли было отключить как это сделал я. Или у меня из-за неполного отключения могли получится неверные логи?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Black Jack Посмотреть сообщение
    Так чтобы сделанные логи были правильные, достаточно ли было отключить как это сделал я. Или у меня из-за неполного отключения могли получится неверные логи?
    Если у Вас есть конкретное подозрение на вирусы, можете сделать логи в строгом соответствии с правилами и остановкой всех процессов и служб, не связанных с системой, но: Честно говоря я не понял за что Вы воюете? Вы собираетесь переустанавливать систему. Потела старая система перед смертью или нет, была она с вирусами или нет - все равно...

  15. #14
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    51
    Вес репутации
    58
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Если у Вас есть конкретное подозрение на вирусы, можете сделать логи в строгом соответствии с правилами и остановкой всех процессов и служб, не связанных с системой, но: Честно говоря я не понял за что Вы воюете? Вы собираетесь переустанавливать систему. Потела старая система перед смертью или нет, была она с вирусами или нет - все равно...
    Подозрений нет, НОДом проверил - не матерится. Просто волнуюсь, не затаился ли вирь на время. 3 дня перезаписывался, апотом перестал. В первый то раз снос не помог, он снова заразил все. Думаю все-таки лучше сделать логи с полной остановкой. Только как это сделать? Как НОД вырубить полностью и другие посторонние процессы, если они не будут сниматься через диспетчер задач.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Black Jack Посмотреть сообщение
    Думаю все-таки лучше сделать логи с полной остановкой. Только как это сделать?
    Вы это читали:
    Чтобы его действительно отключить нужно действовать через службы, т.е. отключить или остановить службы связанную с приложением.

    Чтобы все-чисто-быстро: Пуск/Выполнить... набрать в окошке msconfig. Карточка Автозапуск... Все отключить. Карточка Службы, активировать крючок Виндовс службы не показывать, Все остальные - отключить. Перегружаемся и делам 3 лога как в первом сообщении.

  17. #16
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    51
    Вес репутации
    58
    Вот остановил службы и переделал логи. Возникли небольшие проблемы. После того как я убрал галочки со всех пунктов в автозагрузке через msconfig, там было четыре пункта и все естественно без галочек. После этого компьютер перезагрузил и появилось окно этого msconfiga с предложением не предупреждать о таких изменениях после перезагрузки. Я зашел посмотреть опять в автозагрузку и обнаружил там пятый пункт, которого ранее не было. Это было приложение ctfmon.exe Его расположение C:\WINDOWS\system32\ctfmon.exe Оно относится вроде к NOD. Таких приложений было в автозагрузке два. Один без галочки, а другой с ней, которую я не ставил. Запущены из разных мест. Пути какие-то странные, не такие как у ctfmon.exe Запущен этот пункт был из какого-то HKCU. Галочек напротив остальных четырех пунктов не было. Еще очень долго винда загружалась, когда были остановлены службы через msconfig. Около 15 секунд появлялось окно со вводом пароля после надписи "Запуск Windows" А обычно около 2 секунд это занимало . Прикрепляю логи.
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Описанное Вами поведение вполне нормально.
    В логах чисто.

  19. #18
    Junior Member Репутация
    Регистрация
    26.07.2008
    Сообщений
    51
    Вес репутации
    58
    Rene-gad
    Большое Вам спасибо за то, что Вы уделили мне столько внимания. Теперь можно спать спокойно .

    Добавлено через 1 час 44 минуты

    Мда, появилась очередная проблема. После всех проделанных операций я почистил temp папки и кукисы. Теперь при заходе на страницы их не модем грузит, а они из памяти достаются как бы. Нажимаешь обновить, а она уже совсем другая, с новыми постами . Как это безобразие поправить?
    Последний раз редактировалось Black Jack; 27.07.2008 в 15:05. Причина: Добавлено

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Black Jack, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус semo2x.exe
      От JUNKMAN в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 06:40
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 03:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01001 seconds with 20 queries