Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Вирус-Перехватчик, AVZ не раб((( (заявка № 44058)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42

    Exclamation Вирус-Перехватчик, AVZ не раб(((

    Здравствуйте, прошу помочь.

    Сегодня заметил сидя на yandex.ru что после ввода искомой фразы и нажатия на кнопку "Найти", браузер переходит на "левую" страницу, вместо того чтобы выдать страницу с результатом запроса от yandex.ru. После этого проверил остальные основные поисковые системы (rambler, google, и др.) и на них тоже самое... после нажатия на кнопку "Поиск" или на кнопку "Найти" в адресной строке появляется адрес вот этого сайта

    Код:
    http://explorer.bucks.su/index.php?q=%EF%F0%E8%E2%E5%F2

    этот сайт видимо перенаправляет на другие сайты.
    после открываются еще другие сайты, каждый раз новые, но одной тематики, знакомства или порно.

    Попробовал остальные браузеры...тоже самое(

    Но тут еще не все...не работает AVZ.
    Запустил AVZ, обновил базы, отключил антивирус(Dr.WEB), отключил Интернет,
    Выбрал Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info

    AVZ делает проверку, проверяет все диски, и в самом конце зависает.

    в протоколе последние записи

    Код:
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 320, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 17.04.2009 23:31:16
    Сканирование длилось 00:00:20
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info
    Выполняется исследование системы

    и на этом месте он зависает, приходиться его убивать через диспетчера задач.
    А когда ставлю на простую проверку, то все нормально работает.
    Видимо он зависает в тот самый момент когда записывает логи
    Логов естественно нету, они не успевают появиться, т.к. он зависает.((

    Возможно он не может их заархивировать или еще что...не пойму.

    Прошу помощи. Спасибо.

  2. Реклама
     

  3. #2
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    добавил лог от HijackThis
    Последний раз редактировалось RWC; 06.06.2009 в 00:50.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    качайте avz из моей подписи и только с ним делать логи

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    тоже самое, зависает в том же месте.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    В безопасном режиме загрузиться и сделать такой лог : http://virusinfo.info/showthread.php?t=10387
    Также ,можно попробовать скачать avptool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ , просканировать все диски, если что найдёт- убить. Затем в нормальном режиме тоже попытаться сделать лог http://avptool.virusinfo.info/ru/AVPTool_manual.htm

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    Сделал в безопасном режиме.

    Пробовал и в обычном режиме, но тоже зависает.
    Потом попробовал и снял галочку "Запушенные процессы", и AVZ перестал зависать, могу скинуть лог с нормального режима но без "Запушенные процессы"
    Последний раз редактировалось RWC; 06.06.2009 в 00:50.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    а что насчёт avptool,нашёл что-нибудь?
    Лог от него ?
    Выполните скрипт @ avz в нормальном режиме.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     QuarantineFile('C:\WINDOWS\fd.dll','');
     QuarantineFile('C:\Documents and Settings\RWC\Рабочий стол\3612A53C9FAF8238\3612A53C9FAF8238','');
     QuarantineFile('C:\WINDOWS\system32\pr2ajaqb.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ps7ajaqb.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\pe3ajaqb.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    Последний раз редактировалось drongo; 18.04.2009 в 19:13.

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    Я про тот лог который я получил от AVZ в нормальном режиме через Файл/Исследование системы , но без галочки "Запушенные процессы", тоесть без сканирования запушенныйх процессов, а когда я ставлю галочку "Запушенные процессы" то AVZ виснет.

    Загрузил этот лог от AVZ, без запушенныйх процессов.


    Скрипт выполнил, карантин прислал.

    avptool скачал но еще не устанавливал, dr WEB удалить перед этим?


    щяс запустил CureIt! на проверку
    Последний раз редактировалось RWC; 06.06.2009 в 00:50.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('navigator');
     DeleteService('navigator');
     DeleteFile('C:\WINDOWS\fd.dll');
    BC_ImportDeletedList;
     BC_DeleteSvc('navigator');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Попробуйте сделать логи, как написано в правилах.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    cureit не имеет особово смысла использовать- у вас же и так drweb.
    перед использованием avptool, достаточно отключить ваш основной антивирус на всякий случай

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    Вроде все стало норм, и AVZ заработал

    Проверьте пожалуйста логи.

    Большое спасибо.
    Последний раз редактировалось RWC; 06.06.2009 в 00:50.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('3612A53C9FAF8238');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DeleteFile('C:\Documents and Settings\RWC\Рабочий стол\3612A53C9FAF8238\3612A53C9FAF8238');
     DeleteFile('C:\Documents and Settings\RWC\Рабочий стол\прогссс\прогс6\news\игры\1210526824_herocrafthexxagonlabsv1.rar');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Повторить лог virusinfo_syscure.zip
    P.S. вместо загрузки игр с троянами -заняться нужно обновлением системы и изучением инструкций: http://virusinfo.info/showthread.php?t=30339

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    Это не игра с трояном, это игра под Windows Mobile, avz наверное ругается на нее потому что там кряк)

    после выполнение скрипта и перезагрузки, вылезло окно с "Мастером нового оборудования" и в диспетчере устройств появилось неизвестное устройство. Удалился какой то драйвер?

    Лог ниже.
    Последний раз редактировалось RWC; 06.06.2009 в 00:50.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    авз этим не страдает, а вот трояны в креках очень часто живут, в данном случае он ворует ваши пароли к играм

    Восстановление системы: включено
    Отключить!

    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DeleteFile('C:\Documents and Settings\RWC\Рабочий стол\3612A53C9FAF8238\3612A53C9FAF8238');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('3612A53C9FAF8238');
    BC_Activate;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    spha.sys поискать по второму пункту правил, сомневаюсь что он на диске, но всё же поищите
    сделайте лог gmer. ( http://virusinfo.info/showthread.php?t=40118 )

    удалите наконец bonjour, на виндоус он вам нужен как мёртвому припарки.
    Последний раз редактировалось drongo; 19.04.2009 в 10:46.

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    AVZ снова перестал работать, удалил снова этот navigator через старый скрипт, все заработало, перезагрузился, вроде не появился снова.

    удалите наконец bonjour, на виндоус он вам нужен как мёртвому припарки.

    извините, что за bonjour? и где он есть?))

    spha.sys- не нашел.

    сделал лог в gmer.

    "Мастер нового оборудования" так все и выскакивает, и еще... после выполнения скрипта, в проводнике, в моем компьютере под DVD-ROM'ами появилось надпись веб-папки.

    Скидываю лог gmer. и новые логи от AVZ
    Последний раз редактировалось RWC; 06.06.2009 в 00:50.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    интересный лог gmer, надо на всякий случай деинсталировать ваш эмулятор дисков чтобы не отвлекал.
    Похоже, какой-то свежий руткит у вас надо скопировать нам его, чтобы иметь возможность бороться в будущем.

    Собственно интересуют несколько файлов:
    System32\Drivers\ah8favu2.SYS
    \Device\__max++>\A2EC18DF.dll

    gmer позволяет вам их скопировать?
    Можно попробовать в avz поискать по второму пункту приложения правил.
    Также, можно попробовать icesword, там есть поиск по диску с возможностью копирования. http://rapidshare.com/files/13306104...122en.zip.html
    в отличии от avz, нужно запаковать файлы в zip с паролем virus самому

    Код:
    "Мастер нового оборудования" так все и выскакивает, и еще... после выполнения скрипта, в проводнике, в моем компьютере под DVD-ROM'ами появилось надпись веб-папки.
    это известный побочный эффект, исправим.
    не отвлекайтесь


    P.S. c:\program files\bonjour\mdnsresponder.exe - bonjour у вас в компьютере
    у себя давно удалил.
    Последний раз редактировалось drongo; 19.04.2009 в 20:14.

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    Он пропал.

    щяс запустил Gmer, просканировал.Красным выделилось только

    Service C:\Documents and Settings\RWC\??????? ????\F5F474F8C608F9D0\F5F474F8C608F9D0 (***hidden*** ) [AUTO]F5F474F8C608F9D0

    искал System32\Drivers\ah8favu2.SYS но его нету...сохранил новый лог и сравнил со старым...и вот что.

    старый лог(который я загружал вам ранее)

    Код:
    ---- Kernel code sections - GMER 1.0.15 ----
    ?               sppi.sys                                                                                                                                                                                                                          Не удается найти указанный файл. !
    .text           USBPORT.SYS!DllUnload                                                                                                                                                                                                             F715662C 5 Bytes  JMP 8650B3E0 
    .text           ah8favu2.SYS                                                                                                                                                                                                                      F70D0386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
    .text           ah8favu2.SYS                                                                                                                                                                                                                      F70D03AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
    .text           ah8favu2.SYS                                                                                                                                                                                                                      F70D03C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
    .text           ah8favu2.SYS                                                                                                                                                                                                                      F70D03C9 1 Byte  [2E]
    .text           ah8favu2.SYS                                                                                                                                                                                                                      F70D03C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
    .text           ...                                                                                                                                                                                                                               
    ?               C:\Documents and Settings\RWC\Рабочий стол\F5F474F8C608F9D0\F5F474F8C608F9D0                                                                                                                                                      Отказано в доступе.
    ---- User code sections - GMER 1.0.15 ----
    и

    новый лог(который сделал недавно)

    Код:
    ---- Kernel code sections - GMER 1.0.15 ----
    ?               spvk.sys                                                                                                                                                                                                                          Не удается найти указанный файл. !
    .text           USBPORT.SYS!DllUnload                                                                                                                                                                                                             F718D62C 5 Bytes  JMP 865D31D8 
    .text           axg85z8c.SYS                                                                                                                                                                                                                      F7107386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
    .text           axg85z8c.SYS                                                                                                                                                                                                                      F71073AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
    .text           axg85z8c.SYS                                                                                                                                                                                                                      F71073C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
    .text           axg85z8c.SYS                                                                                                                                                                                                                      F71073C9 1 Byte  [2E]
    .text           axg85z8c.SYS                                                                                                                                                                                                                      F71073C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
    .text           ...                                                                                                                                                                                                                               
    ---- User code sections - GMER 1.0.15 ----
    дак какой файл мне искать?

    Он меняет имя...или иначе ah8favu2.SYS нету.Куда он пропал?)

    \globalroot\Device\__max++>\A2EC18DF.dll а этого ваще нету в новом логе от gmer, может gmer удалил его?

    загружу новый лог от gmer

    PS: а может его теперь нету так как я снова удалил navigator, ведь во время сканирования navigator был еще не удален, я его удалил только после..., когда начал делать логи AVZ
    Последний раз редактировалось RWC; 06.06.2009 в 00:50.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    sp??.sys - это от эмулятора дисков.
    ah8favu2.SYS - тоже.
    Если удалите главный драйвер эмулятора дисков C:\WINDOWS\System32\Drivers\sptd.sys, то это у Вас пропадет.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    то это у Вас пропадет.
    что это?

    да все-же, что делать?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Цитата Сообщение от RWC Посмотреть сообщение
    что это?
    Драйвера эмулятора, которые меняют имя. Если они Вам мешают или не нужны, можете удалить.

    Цитата Сообщение от RWC Посмотреть сообщение
    да все-же, что делать?
    Ждать, когда вирлаб ответит по поводу файла 3612A53C9FAF8238 из карантина.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  • Уважаемый(ая) RWC, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 28.04.2012, 09:41
    2. вирус перехватчик блокирует клавиатуру
      От evsevy в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.02.2012, 01:46
    3. Вирус или перехватчик
      От Pigibond в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.03.2011, 12:26
    4. Ответов: 10
      Последнее сообщение: 05.08.2010, 10:32
    5. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00228 seconds with 21 queries