Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Брандмауэр сообщает о вирусном заражении (заявка № 71712)

  1. #1
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    45
    Вес репутации
    25

    Thumbs up Брандмауэр сообщает о вирусном заражении

    Добрый день. При загрузке системы Брандмауэр windows начинает сканирование и сообщает о 27 зараженных файлах. Все время появляются сообщения о вирусных атаках (наверное - они по-английски).
    Раньше стоял антивирус Avast. Сейчас он заблокирован (наверное) - не запускается. Позавчера сканировала авастом при запуске. Он обнаружил и удалил много вирусов ( в основном: Win32:Malware-gen, Win32:Crypt-FVB, Win32:Rootkit-gen), а также было сообщение: Sign of "VBS:Malware-gen" has been found in "C:\WINDOWS\file.bat" file.
    Вчера компьютер вообще перестал загружаться. Постоянно предлагал безопасный режим. При его выборе он опять перезагружался... и всё сначала. Каким-то чудом я его загрузила, но появился XP Internet Security и сообщение (см.выше).
    Пожалуста помогите!. Боюсь, что вирусы съедят всю систему.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Здравствуйте.
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Пользователь\local settings\application data\av.exe');
     TerminateProcessByName('c:\windows\system32\syncman.exe');
     TerminateProcessByName('c:\documents and settings\Пользователь\syncman.exe');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('c:\documents and settings\Пользователь\local settings\application data\av.exe','');
     QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\roovuquy.exe','');
     QuarantineFile('C:\WINDOWS\system32\gufootud.exe','');
     QuarantineFile('C:\WINDOWS\system32\SyncMan.exe','');
     QuarantineFile('C:\Documents and Settings\Пользователь\SyncMan.exe','');
     QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\gufootud.exe','');
     QuarantineFile('c:\documents and settings\Пользователь\syncman.exe','');
     QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\fougoobefy.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\epfsiwpoc.sys','');
     DeleteService('dqmlcqusftihl');
     DeleteService('axyda');
     DeleteService('es9e5qufaeolp');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('c:\documents and settings\Пользователь\local settings\application data\av.exe');
     DeleteFile('c:\documents and settings\Пользователь\syncman.exe');
     DeleteFile('c:\windows\system32\syncman.exe');
     DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\roovuquy.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\epfsiwpoc.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\lxnxsvksuh.sys');
     DeleteFile('C:\WINDOWS\system32\gufootud.exe');
     DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\gufootud.exe');
     DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\fougoobefy.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rezoogar');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tosu');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SyncMan');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SyncMan');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tosu');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(1);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    45
    Вес репутации
    25
    Скопировала Ваш скрипт. Вошла в АVZ-файл-выполнить скрипт. Вставила Ваш скрипт. Появилось сообщение об ошибке: ";" expected в позиции 36:1. Что делать?

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Цитата Сообщение от chnv Посмотреть сообщение
    Что делать?
    Ошибок в скрипте нет. Копируйте внимательно
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    45
    Вес репутации
    25
    Выполнила скрипт. Сообщения брандмауэра пропали, появился аваст. Я не очень поняла как прислать карантин. По правилам хотела создать новые логи в АVZ, но скрипты выполняются, а virusinfo_syscure.zip, virusinfo_syscheck.zip не создаются. Может я что-то не так делаю? или так и должно быть? Новый hijackthis.log получился.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Цитата Сообщение от chnv Посмотреть сообщение
    Я не очень поняла как прислать карантин.
    Над первым сообщением Вашей темы есть красная ссылка ссылке Прислать запрошенный карантин. Как правильно присылать, прочтите в Приложении 3 правил

    Цитата Сообщение от chnv Посмотреть сообщение
    скрипты выполняются, а virusinfo_syscure.zip, virusinfo_syscheck.zip не создаются
    Новые логи перезаписывают старые. Проверьте время создания логов
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    45
    Вес репутации
    25
    У меня в AVZ4 нет ни папки, ни файла Quarantine. Если зайти: файл-просмотр карантина - там пусто. Попыталась сделать опять новый лог. После выполнения сканирования в папке LOG пусто.
    Выкладываю лог Хайджака.
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Попробуйте сделать логи полиморфным AVZ из моей подписи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    45
    Вес репутации
    25
    Спасибо. Логи получились. Выставляю. А карантина нет (может и не должно быть?)
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    45
    Вес репутации
    25
    Выполнила Ваш скрипт. Написано, что скрипт выполнен без ошибок. Но в протоколе написано:
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\cdrom.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\cdrom.sys)
    Карантин с использованием прямого чтения - ошибка
    Появилась папка Quarantin. В ней папка 2010-02-20. Но она пустая.

    Добавлено через 5 часов 5 минут

    Ответьте, пожалуйста!

    Добавлено через 7 часов 57 минут

    Карантин выложила. Что мне делать дальше?
    Последний раз редактировалось chnv; 20.02.2010 в 23:15. Причина: Добавлено

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    C:\WINDOWS\system32\DRIVERS\cdrom.sys заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    45
    Вес репутации
    25
    Ой! Вылетело сообщение аваст: C:\toi.exe вирус/червь Удалила.

    Добавлено через 13 минут

    У меня в папке C:\WINDOWS\system32\DRIVERS нет файла cdrom.sys. Есть только cdaudio.sys и cdfs.sys ... Или я опять что-то не так поняла?
    Последний раз редактировалось chnv; 21.02.2010 в 01:08. Причина: Добавлено

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    45
    Вес репутации
    25
    При сканировании Аваст выдал сообщение о вирусе C:\Documents and Settings\LocalService\Local Settings\Application Data\av.exe Имя: Win32:Malware-gen. Мне его удалить? Или как? (По Вашей ссылке написано:"ничего не удаляйте, не посоветовавшись с хелперами.")

    Добавлено через 30 минут

    Ответьте, пожалуйста!
    Последний раз редактировалось chnv; 21.02.2010 в 02:02. Причина: Добавлено

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Вы лог сделали? Я его не вижу...
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    45
    Вес репутации
    25
    Да-да, отправляю!
    Вложения Вложения

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Удалите в МВАМ
    Код:
    Заражено ключей реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Trojan.Agent) -> No action taken.
    
    Заражено файлов:
    C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
    C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\Пользователь\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    45
    Вес репутации
    25
    Удалила. А что делать далее?

  21. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Проблемы остались?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) chnv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. В активном заражении 3 или 4 вируса
      От w32stator в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 27.07.2010, 21:28
    2. Ответов: 8
      Последнее сообщение: 25.02.2010, 01:05
    3. Ответов: 12
      Последнее сообщение: 22.02.2009, 04:14
    4. Подозренение о заражении
      От Synthetic_God в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.12.2008, 10:27
    5. Ответов: 8
      Последнее сообщение: 12.06.2007, 09:15

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01144 seconds with 21 queries