Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 56.

АВИРа постоянно находит троянов (заявка № 50419)

  1. #1
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57

    Thumbs up АВИРа постоянно находит троянов

    Добрый день,
    пришел с отпуска, и застал компьютер на работе во весьма плачевном состоянии - проверка АВИРОй после обновления нашла и убила порядка 70 троянов, но и после этого ругается 4-8 раз в день на обнаружение новых, даже в оффе. Тормоза и зависание (раз пару - до ресета). Посмотрите, пожалуйста - выкладываю логи согласно правилам.
    Алексей.
    Последний раз редактировалось Sibirian; 10.10.2009 в 11:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Обнаружены еще следы DrWeb. Оставьте один антивирус

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\msmacro64.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\LocalService.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     DeleteService('systemntmi');
     DeleteService('sysdrv32');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteService('securentm');
     DeleteService('port135sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     DeleteService('nicsk32');
     DeleteService('netsik');
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     DeleteService('fips32cup');
     DeleteService('ati64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteService('amd64si');
     DeleteService('acpi32');
     TerminateProcessByName('c:\windows\mrmngr.exe');
     QuarantineFile('c:\windows\mrmngr.exe','');
     TerminateProcessByName('c:\windows\usb_mgr.exe');
     QuarantineFile('c:\windows\usb_mgr.exe','');
     QuarantineFile('C:\WINDOWS\mrmngr.exe','');
     QuarantineFile('C:\WINDOWS\usb_mgr.exe','');
     DeleteFile('C:\WINDOWS\usb_mgr.exe');
     DeleteFile('C:\WINDOWS\mrmngr.exe');
     DeleteFile('c:\windows\usb_mgr.exe');
     DeleteFile('c:\windows\mrmngr.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
     DeleteFile('C:\Documents and Settings\LocalService\LocalService.exe');
     DeleteFile('C:\WINDOWS\msmacro64.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\msmacro64.exe','');
     QuarantineFile('C:\WINDOWS\mrmngr.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\LocalService.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
     DeleteService('sysdrv32');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     DeleteService('port135sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     DeleteService('nicsk32');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     DeleteService('netsik');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     DeleteService('fips32cup');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     DeleteService('ati64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     DeleteService('amd64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteService('acpi32');
     QuarantineFile('C:\WINDOWS\usb_mgr.exe','');
     QuarantineFile('c:\windows\mrmngr.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\Documents and Settings\LocalService\LocalService.exe');
     DeleteFile('C:\WINDOWS\mrmngr.exe');
     DeleteFile('C:\WINDOWS\msmacro64.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи после перезагрузки.
    Прислать карантин по красной ссылке по Правилам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Я Вас приветствую, Павел)
    Хм... Выполнил первую пропись от Тирекса. Сорри - Вашу пропись увидел только что - выкладываю логи и карантин. Вашу пропись выполнять?

    2 Тирекс - нельзя ли совет, как вылущить др ВЕБа? Я остатков его не вижу, не активен, в программах установленных к исполнению не замечен...

    Алексей.
    Последний раз редактировалось Sibirian; 10.10.2009 в 11:30.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Sibirian, по DrWeb можно почитать здесь http://virusinfo.info/showthread.php?t=16646, а лучше воспользоваться спецутилитой от разработчика

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\msddrv42.exe','');
    DeleteFile('C:\WINDOWS\msddrv42.exe');
     DeleteFile('mrmngr.exe');
     DeleteFile('usb_mgr.exe');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    2 Тирекс - спс за ссылку)

    Пропись выполняю, с ВЕБОМ сейчас поборюсь. А вот карантин... АВЗ загоняет туда почти весь Опен Оффис - карантин даже в раре 32 МБ. Просто исключить из карантина файлы относящиеся к нему?

    Алексей.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Sibirian Посмотреть сообщение
    Просто исключить из карантина файлы относящиеся к нему?
    Исключить
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    После лечения хотелось-бы получить от Вас вот такой карантин:
    http://virusinfo.info/showthread.php?t=3519

    Туда как раз OpenOffice и войдет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    2 Тирекс - пропись выполнил, логи выкладываю, в карантине (прошу прощения, старый я уже удалил, а во вновь созданном - только 3 файла, 2 от Опен Оффиса и 1 от Монка).

    2 Павел - конечно, по окончании лечения сделаю все по ссылке.

    Алексей.
    Последний раз редактировалось Sibirian; 10.10.2009 в 11:30.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В логах плохого нет.
    Platform: Windows XP SP2 (WinNT 5.01.2600) -- надо исправить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    2 Павел - в смысле, ставить СП 3?
    И пока набираю сообщение, АВИРа пищит на c:/windows/system32/ms07.exe определяя как TR/Agent.cqun.2 - это извне, или лезет из системы?

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Да, именно его (SP3) и заплатки после него..
    .
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    2 Павел - если в логах все чисто - спс) Вы как всегда лучшие))
    (Сорри за грубую лесть :-) ). Сбор по скрипту №4 сделал, вес получился около 26 Мб, скину вечером из дома по оптике - а то радио с лимитом на работе - напрягает. Можно совет по поводу троянов из моего сообщения выше? А то опять 2 раза АВИРа пропищала.
    С уважением, Алексей.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Sibirian, попробуй сделать логи полиморфным AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Результаты работы полиморфного АВЗ... Но пищит после перезагрузки компьютера раз 5-6...

    Алексей.
    Последний раз редактировалось Sibirian; 10.10.2009 в 11:30.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\mrmngr.exe');
     DeleteFile('C:\WINDOWS\msddrv42.exe');
     DeleteFile('C:\WINDOWS\usb_mgr.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Теперь уже завтра... Выкладываю сбор по скрипту №4.

    Алексей.

    Добавлено через 10 минут

    Файл сохранён как
    090722_181131_virusinfo_files_RTY-359581A674E_4a671e13e7a40.zip
    Размер файла 27037861
    MD5 098b5e0748cf5bd165cc388d0fa19b30
    Последний раз редактировалось Sibirian; 22.07.2009 в 18:16. Причина: Добавлено

  19. #18
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Доброе утро)
    Выполнил скрипт, выкладываю логи.

    Алексей.
    Последний раз редактировалось Sibirian; 10.10.2009 в 11:31.

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    еще одного углядел:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('WM System Decode Application');
     DeleteFile('C:\WINDOWS\system\msdct.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторить станд скрипт №2 и прислать лог.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Скрипт №2 повторил, лог выкладываю.

    Алексей
    Последний раз редактировалось Sibirian; 10.10.2009 в 11:31.

  • Уважаемый(ая) Sibirian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Drweb постоянно находит dpm.exe
      От hoary в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 14.11.2010, 17:31
    2. Ответов: 5
      Последнее сообщение: 07.09.2010, 18:12
    3. Avira постоянно находит троянов
      От Сергей Ю. в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.08.2009, 13:17
    4. Постоянно находит вирус
      От Grisha в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:56
    5. KIS 7 постоянно находит oufddh.exe
      От Mutabor_mc в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 04:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01364 seconds with 17 queries