Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Помогите пожалуйста! (заявка № 71778)

  1. #1
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25

    Thumbs up Помогите пожалуйста!

    нод32 выдаёт сообщение о том что адрес заблокирован через каждые 5 мин. и ссылка на айпи адрес 91.207.4.146/spm/.......
    сам нод32 вирусов не обнаруживает
    решила почистить avz4 и получила следующее

    Код:
    1. Поиск RootKit и программ, перехватывающих функции API
     >>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
     >>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
     >>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
     >>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
     Драйвер успешно загружен
     SDT найдена (RVA=08B520)
     Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
       SDT = 80562520
       KiST = 804E48D0 (284)
    Функция NtOpenProcess (7A) перехвачена (80581702->81BE5CB0), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика уже нейтрализован
    Функция NtOpenThread (80) перехвачена (805E1941->81BE60D0), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика уже нейтрализован
    Функция NtSuspendProcess (FD) перехвачена (80637717->81BE66D0), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика уже нейтрализован
    Функция NtSuspendThread (FE) перехвачена (80637633->81BE64F0), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика уже нейтрализован
    Функция NtTerminateProcess (101) перехвачена (8058E695->81BE5EE0), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика уже нейтрализован
    Функция NtTerminateThread (102) перехвачена (805838E7->81BE6310), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика уже нейтрализован
    Проверено функций: 284, перехвачено: 6, восстановлено: 6
    1.3 Проверка IDT и SYSENTER
     Анализ для процессора 1
     Анализ для процессора 2
    CmpCallCallBacks = 001450D8
    Disable callback OK
     Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
     Проверка не производится, так как не установлен драйвер мониторинга AVZPM
     Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
     Проверка завершена
    2. Проверка памяти
     Количество найденных процессов: 52
    c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла 
    c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла 
    c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла 
    c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла 
    c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла 
     Количество загруженных модулей: 502
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
     Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     В базе 317 описаний портов
     На данном ПК открыто 8 TCP портов и 14 UDP портов
     Проверка завершена, подозрительные порты не обнаружены
    7. Эвристичеcкая проверка системы
    >>> Подозрение на маскировку ключа реестра службы\драйвера "hksktqthp"
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Проверка завершена
    надеюсь только на вас, спасибо!
    Последний раз редактировалось pig; 20.02.2010 в 08:04. Причина: утоптал

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Да, зловред виден, но -
    Нам нужны логи по правилам:
    http://virusinfo.info/showthread.php?t=1235

    Сделайте пожалуйста и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25

    лог

    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Да, зловред виден, но -
    Нам нужны логи по правилам:
    http://virusinfo.info/showthread.php?t=1235

    Сделайте пожалуйста и приложите в теме.
    добавила
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Да не этот. Я же дал вам ссылку выше на правила.
    (базы AVZ там обновить не забудьте).
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25
    Надеюсь на этот раз то
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 20.02.2010 в 18:31. Причина: убрал карантин

  7. #6
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25

    какой-то кошмар

    этот вирус удаляет информацию обо мне на моей стр. в контакте,дублирует одни и теже фразы по 50 раз в информации о себе....что делааааать?!

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    virusinfo_cure.zip уберите из вложений!

    Отключите Восстановление системы.
    Отключите интернет.
    Выгрузите/отключите антивирус/файрволл.

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    Выполните скрипт в AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer;
    KeyList : TStringList;
    KeyName : string;
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then
         Result := Result or 8;
       end;
      end;
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030306.exe:userini.exe:$DATA','');
     QuarantineFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030246.exe:userini.exe:$DATA','');
     QuarantineFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0029373.exe:userini.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\014D4.tmp','');
     DeleteFile('C:\WINDOWS\system32\014D4.tmp');
     DeleteFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0029373.exe:userini.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030246.exe:userini.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030306.exe:userini.exe:$DATA');
     DeleteService('mofgeymf');
     AddToLog(inttostr(BC_ServiceKill('hksktqthp')) );
     SaveLog(GetAVZDirectory+'avz_log.txt');
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Запустите/включите антивирус/файрволл.
    Подключите интернет.

    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

    Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
    http://virusinfo.info/showthread.php?t=40118
    и приложите его в теме.

    Файл avz_log.txt из папки AVZ приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".


    не могу прислать, пишет
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Значит не надо.

    Слелайте остальные логи и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25
    Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
    http://virusinfo.info/showthread.php?t=40118
    и приложите его в теме.

    вот это вобще не могу сделать, ни в какую,из-за gmer зависает компьютер, пыталась раз 5...((

    в общем ничего не меняется,не смотря на то что выполнила несколько скриптов, но т.к. система категорически отказалась делать лог gmer, наверно что-то пытаться деалть уже бесполезно
    Вложения Вложения
    Последний раз редактировалось AndreyKa; 22.02.2010 в 22:48.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Попробуйте сделать лог gmer при отключенном антивирусе.

    Это ваша настройка проски?
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25

    эххх

    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Попробуйте сделать лог gmer при отключенном антивирусе.

    Это ваша настройка проски?
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru
    если бы я знала как определить-моя или не моя?

    мне фраза настройка прокси ни о чем не говорит

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Пофиксите, всё равно прокси не используется.

  15. #14
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25

    эххх

    Попробывала сделать лог gmer при отключенном антивирусе.
    Сканировала систему больше 3х часов в итоге компьютер выключился,сам включился и появилось окно-система восстановлена после серьезной ошибки

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.

  17. #16
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25

    эхх

    выполнила
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Установите Adobe Acrobat Reader 9.3 или удалите старый.
    Цитата Сообщение от helen87 Посмотреть сообщение
    этот вирус удаляет информацию обо мне на моей стр. в контакте
    Пароль для входа в "контакт" поменяйте.
    Какие остались проблемы?

  19. #18
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25

    эххх

    ну я сама это в логе прочитала

    всё равно какая-то фигня творитсяв общем создам логи по правилам и приложу, перехватчик какой-то не убрался...

  20. #19
    Junior Member Репутация
    Регистрация
    20.02.2010
    Сообщений
    17
    Вес репутации
    25

    логи

    какая-то фигня теперь: когда вставляешь флешку не появляется окно автозапуска-какое действие следует выполнить?пробывала свойства-автозапуск, не помогло
    ещё перед запуском виндоус: черный экран и синее окно, выполнить скрипт,и так иероглифы,квадратики какие то, и ОК, жму ОК и только тогда запускается...
    Вложения Вложения

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     ExecuteRepair(6);
     DeleteService('nod32p');
     SetServiceStart('nod32p', 4);
     DeleteService('mofgeymf');
     QuarantineFile('C:\WINDOWS\system32\014D4.tmp','');
     DeleteFile('C:\WINDOWS\system32\014D4.tmp');
     DeleteFile('C:\WINDOWS\system32\nod32p.exe');
    BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Если не поможет, скажите, в синем окне имена файлов есть?

  • Уважаемый(ая) helen87, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите пожалуйста
      От ekuz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.05.2012, 14:07
    2. Ответов: 9
      Последнее сообщение: 08.08.2011, 16:49
    3. Ответов: 23
      Последнее сообщение: 22.02.2009, 02:23
    4. Помогите пожалуйста!
      От Девочка в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.03.2008, 21:31
    5. ПОЖАЛУЙСТА ПОМОГИТЕ
      От владик в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.03.2008, 23:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01630 seconds with 22 queries