Показано с 1 по 14 из 14.

AVIRA предумпреждает о вирусах в папке system32 (заявка № 27664)

  1. #1
    Junior Member Репутация
    Регистрация
    27.04.2007
    Сообщений
    27
    Вес репутации
    36

    Question AVIRA предумпреждает о вирусах в папке system32

    Авира постоянно предупреждает о вирусах в папке windows\system32, файлы меняют имя после каждой перезагрузки.
    SpybotS&D блокирует изменения в реестре BHO

    Сканирование в безопасном режиме лечилкой от Др.Веб, Авирой, AVZ, и SpybotS&D не решило проблему.

    Сканеры находили такие вредоносы:

    killfiles 808
    IRC chazz 38
    Crypt XPACK Gen [trojan]


    Авира:

    Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
    detected in file 'C:\WINDOWS\system32\cbXNGyAp.dll.


    Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
    detected in file 'C:\Documents and Settings\Max\Local Settings\Temporary Internet Files\Content.IE5\B2MJVP30\ico[1].


    Иногда блокируются сайты goog.com, virusinfo.info, хотя ругие открываются.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Вы чего - забыли как и что? Напоминаем: http://virusinfo.info/showthread.php?t=1235

  4. #3
    Junior Member Репутация
    Регистрация
    27.04.2007
    Сообщений
    27
    Вес репутации
    36
    Знаю.
    Файлы не помещаются, разместил по ссылкам.


    http://slil.ru/26038739
    http://slil.ru/26038753
    http://slil.ru/26038724
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Отключите
    - ПК от интернета/локалки
    - Антивирус, Файрвол, Tea Timer от Спайбота - его можно сразу или потом - фтопку вместе с Zone Alarm
    - Системное востановление.
    -Пофиксите
    Код:
    O2 - BHO: (no name) - {109BE732-8F8C-49D4-A3F4-FEDCAC7F0A25} - C:\WINDOWS\system32\geBuRJab.dll
    O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
    O4 - Startup: PowerReg Scheduler V3.exe
    O4 - Startup: SpywareGuard.lnk.disabled
    O4 - Startup: Xfire.lnk.disabled
    O20 - Winlogon Notify: geBuRJab - C:\WINDOWS\SYSTEM32\geBuRJab.dll
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('lredbooo');
     DeleteService('Trufos');
     DeleteService('Profos');
     QuarantineFile('C:\DOCUME~1\Max\LOCALS~1\Temp\lredbooo.sys','');
     QuarantineFile('C:\WINDOWS\system32\geBuRJab.dll','');
     DeleteFile('C:\WINDOWS\system32\geBuRJab.dll');
     DeleteFile('C:\Program Files\Softwin\BitDefender10\profos.sys');
     DeleteFile('C:\Program Files\Softwin\BitDefender10\trufos.sys');
     DeleteFile('C:\DOCUME~1\Max\LOCALS~1\Temp\lredbooo.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    executerepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    27.04.2007
    Сообщений
    27
    Вес репутации
    36
    Спасибо, теперь, вроде, все нормально.

    http://slil.ru/26039410
    http://slil.ru/26039411
    Вложения Вложения
    Последний раз редактировалось asd911; 07.08.2008 в 02:09.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Для кого было написано красным шрифтом???
    Отключите
    .....
    - Антивирус, Файрвол, Tea Timer от Спайбота

    Еще одна попытка. Если будете и дальше не выполнять указания - закрою тему.

    -Пофиксите
    Код:
    O1 - Hosts: 1127.0.0.1 galleries.dacash.com
    Код:
    begin
    SetAVZGuardStatus(True);
     ClearHostsFile;
     DeleteService('BDRsDrv');
     DeleteService('BDFsDrv');
     DeleteFile('C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys');
     DeleteFile('C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Логи повторите от п. 10 правил.
    Последний раз редактировалось Rene-gad; 07.08.2008 в 10:21. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    27.04.2007
    Сообщений
    27
    Вес репутации
    36
    Файрвол пришлось удалить, не открывался.
    Авире отключил активную защиту, из памяти она убирается только деинсталяцией.

    Логи:


    http://slil.ru/26041150
    http://slil.ru/26041152
    http://slil.ru/26041146

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от asd911 Посмотреть сообщение
    Файрвол пришлось удалить
    Ну и не ставьте его больше - включите Виндовс-Файрвол. Вы ж уже поняли, что защитные программы берегут только береженных
    Авире отключил активную защиту, из памяти она убирается только деинсталяцией.
    Почему? Можно службы остановить.
    И еще: я не помню, есть ли в Спайботе функция, позволяющая восстановить файл hosts? Из-за того , что Спайбот его при иммунзации - которая помогает, как зайцу стопсигнал - изувечил, Ваши логи никуда не помещаются.
    Если такой опции нет - переименуйте файл C:\WINDOWS\system32\drivers\etc\hosts в hosts_old и замените его файлом C:\i386\hosts.
    Вот еще один файлик от Битдефендера остался. Если хотите удалить - выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Softwin\BitDefender10\bdagent.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    Как работает система? Вроде ничего зловредного не видать.

    Рекомендую обновить Джаву и почитать нашу библию: http://security-advisory.virusinfo.info/
    Последний раз редактировалось Rene-gad; 07.08.2008 в 16:37.

  10. #9
    Junior Member Репутация
    Регистрация
    27.04.2007
    Сообщений
    27
    Вес репутации
    36
    Спасибо, машина работает нормально.
    Анвира ничего не находит.


    Файрвол ставил только чтоб закрыть порты от сканеров. С нормальным я не разберусь.

    "Библия" интересная, обязательно изучу, спасибо.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от asd911 Посмотреть сообщение
    Файрвол ставил только чтоб закрыть порты от сканеров.
    От каких сканеров? От портскана, что ли? А можно от ветра защититься? И нужно ли?

  12. #11
    Junior Member Репутация
    Регистрация
    27.04.2007
    Сообщений
    27
    Вес репутации
    36
    Все что знаю, в основном прочел на этом сайте
    В теме фаерволов было сказано, что виндовс оставляет много открытых портов, а сканеры их обнаруживают и таким образом злодей или програма может получить доступ к машине.
    Может я чего не понял, но фаервол тогда решил поставить

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от asd911 Посмотреть сообщение
    В теме фаерволов было сказано, что виндовс оставляет много открытых портов, а сканеры их обнаруживают и таким образом злодей или програма может получить доступ к машине.
    Вы что-то неправильно поняли. При нормальной системе без файрвола порты для внешнего доступа находятся в статусе CLOSED (закрыт) , с файрволом - в статусе STEALS (невидимка). Статус OPEN существует только в том случае, если порт открыт - либо пользователем для специальных целей , либо троянской программой. В последнем случае необходимо не закрывать порт каким-либо софтом, который имеет не много шансов против другого (зловредного) софта, а удалять троянскую программу. Это - функция антивируса.
    Чтобы перевести не изпользуемые порты в недоступное извне состояние, необходимо и достаточно отключить ненужные службы. Справочник по Службам можно скачать по ссылке в моей подписи. Кроме того - есть маленькая тулза, которая минимирует количество работающих служб до необходимого : http://dingens.org/index.html.en .
    И помните- троян умеет все, что умеет пользователь. Хорошо сконструированный троян обьедет любой файрвол на Ура.
    Для проверки портов можно воспользоваться тулзой ShieldsUp на портале www.grc.com. Если без файрвола все порты имеют статус CLOSED - значит Ваша система работает нормально и от файрвола можно отказаться.

  14. #13
    Junior Member Репутация
    Регистрация
    27.04.2007
    Сообщений
    27
    Вес репутации
    36
    Еще раз спапсибо, тест показал, что порты скрыты.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,539
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\geburjab.dll - Trojan.Win32.Monderb.elc (DrWEB: Trojan.Virtumod.based.23)


  • Уважаемый(ая) asd911, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 16
      Последнее сообщение: 08.06.2011, 13:21
    2. вирусы в папке system32
      От feesh в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 26.07.2010, 12:44
    3. постоянно руткит X в папке system32
      От Corruptor в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 27.10.2009, 17:57
    4. постоянно руткит X в папке system32
      От Diagnoz в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.09.2009, 17:22
    5. Что это за файлы в папке system32?
      От MDM в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 21.03.2008, 12:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01338 seconds with 21 queries