Показано с 1 по 19 из 19.

Вирус ломает антивирусы (заявка № 59229)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53

    Exclamation Вирус ломает антивирусы

    Добрый день. Вы мне помогли вылечить один мой компьютер, но у меня проблема с другим.
    Вирус относительно старый - из-за него некорректно работают многие программы, антивирусы многие вообще не запускаются, так как почти сразу ломается exe файлы.
    Заражает флешки - после работы на данном компьютере, антивирус на другом сразу находит на флешках вирусы, хотя до этого они были чистыми
    Сумел проверить на др.вебе - излечилось около 55 файлов (в основном ехе).
    Антивирус зайцева открыть не удается - нажимаешь на ехе файл и никакого результата.

    Потому присылаю вам лог с HijackThis.

    Не знаю, что делать...уже многие знакомые программисты пасовали перед ним.

    Когда я пытался со здорового перенести сетапоские файлы и любые ехе файлы, и даже не открывая их - он сразу заражал их.
    Последний раз редактировалось Rene-gad; 04.11.2009 в 19:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Ниори Посмотреть сообщение
    Сумел проверить на др.вебе - излечилось около 55 файлов (в основном ехе).
    Очевидно, речь идет о файловом вирусе, и скорее всего вам пока не удалось его добить. Методика лечения описана здесь: http://virusinfo.info/showthread.php?t=15927. Надежнее всего использовать DrWeb LiveCD. После лечения скачайте заново AVZ и HijackThis и сделайте логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Воспользовавшись идей о переименовании с ехе на pif мне удалось запустить антивирус зайцева и сделать два архива.

    Теперь мне делать то, что вы посоветовали или что-то другое уже?
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от Ниори Посмотреть сообщение
    Теперь мне делать то, что вы посоветовали ...?
    Да, у Вас похоже Sality погулял. Сначала пролечитесь по ссылке Bratez.
    Потом:

    Закройте/выгрузите все программы кроме AVZ .
    Отключите:
    - ПК от интернета/локалки;
    - антивирус и файрвол.;
    - восстановление системы;
    - выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\foevr.pif','');
     QuarantineFile('E:\autorun.inf','');
     DeleteService('asc3360pr');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\sqe6oOtY.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ljpgvi.sys','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfawj.exe','');
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\w23b4720.exe','');
     DeleteFilemask('c:\docume~1\9335~1\locals~1\temp','*.*',true);
     DeleteFile('C:\WINDOWS\system32\drivers\ljpgvi.sys');
     DeleteFile('E:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    Executerepair(6);
    Executerepair(9);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    После выполнить:
    - включите антивирус и файрволл
    - подключите ПК к интернету/локалке
    - закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
    Последний раз редактировалось Rene-gad; 04.11.2009 в 13:12.

  6. #5
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Карантин отправил.
    Сканером Vba32 сделал проверку - высылаю результаты.
    Также сделал новые логи.
    Вирус точно остался еще.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    сделайте такой лог http://virusinfo.info/showthread.php?t=58309

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Салити Вы до конца не убили. Повторите проверку VBA32. Если он Салити не найдет, то тогда можно будет лечиться дальше.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Скидываю лог по комбофиксу.
    Начинаю опять по вба32 (как же долго он сканирует - несколько часов)

  10. #9
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Скидываю лог ВБА32
    У меня вопрос - удалять папку infekted (как я понимаю там зараженные файлы на 700Мб).
    Вложения Вложения
    • Тип файла: rar vba32.rar (36.3 Кб, 3 просмотров)

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Проверялись с Лайв СД? Если из-под загруженной винды, то может не получиться.
    В логе опять Салити фигурирует.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Нет, через лайф Сд не проверялся, так как к моему стыду я не понял, как это делается. Какие конкретно нужно файлы скачать и что с ними делать? В том линке, который вы указали, надо все папки и все приведенные файлы скачать? или что-то конкретное? надо ли архивированные файлы разархивировать?


    И удалять ли с диска С папку "Infekted"? Там, как я понял, находятся только зараженные файлы, не подлежащие лечению?

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    На сайте Доктора Веба есть ссылка на образ-iso Live CD. Его надо скачать и затем записать на болванку при помощи Nero или другой писалки. Желательно это делать на чистой машине.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    http://www.freedrweb.com/livecd/
    Вот это?
    Если да, то все оттуда файлы скачивать или какие-то определенные. А то я что-то скачал, но уменя ничего не запускается.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от Ниори Посмотреть сообщение
    http://www.freedrweb.com/livecd/
    Вот это?
    Если да, то все оттуда файлы скачивать или какие-то определенные. А то я что-то скачал, но уменя ничего не запускается.
    Нажмите скачать Dr.Web LiveCD бесплатно
    Скачаете образ диска (Dr.Web LiveCD) запишите его на диск, потом с него надо загрузитесь и просканируйте ПК

  16. #15
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Сделал как вы сказали, но ничего не получается.
    Компьютер не знает ни одного из форматов, которые присутствуют в данной папке. И соотвественно никакого автозапуска не происходит. В ручную тоже ничего не удалось запустить

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Это образ диска http://ru.wikipedia.org/wiki/Live_CD
    его надо записать на диск! Потом вставить в привод и загрузиться с него.
    Если не получается загрузиться с Live CD, тогда в BIOS надо выбрать загрузку первым CD-ROM

  18. #17
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Вообщем я сделал все, как вы сказали, но возникла проблема - мой компьютер похоже старый для этой версии лайвСД. Мне удалось проверить память только, а когда я пытался проверить в биосе в нормальном режиме мне выдается следущая строка:
    "This kernel requires an i686 CPU, but only detected an i586 CPU.
    Unable to boot - please use a kernel appropriate for your CPU"
    и ничего больше не сделать....

    ЧТО ДЕЛАТЬ?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Если есть еще ПК ("чистый"), то снимите Ваш жесткий диск и подсоедините к нему, и проверьте. ВЫ в безопасном режиме прогоняли утилитой Dr.Web CureIt или AVPTool? Если нет, то сделайте это.
    Конечно, лучше Live CD или подсоединить жесткий диск к другому ПК

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\doctorweb\quarantine\jpkxhv .exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )
      2. e:\autorun.inf - Trojan.Win32.AutoRun.kd ( BitDefender: Trojan.AutorunINF.Gen, AVAST4: BV:AutoRun-AC [Wrm] )
      3. e:\foevr.pif - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.5, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAR virus, AVAST4: Win32:Sality )


  • Уважаемый(ая) Ниори, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус. Ломает браузеры.
      От gerichgerich в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.08.2011, 16:12
    2. Ответов: 8
      Последнее сообщение: 27.07.2009, 01:43
    3. sector12, лопает все что попадается
      От larik218 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.03.2009, 08:42
    4. Вирус ломает эксешные файлы
      От Mimigull в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:33
    5. Ответов: 3
      Последнее сообщение: 22.02.2009, 03:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00006 seconds with 20 queries