-
Junior Member
- Вес репутации
- 51
Подозрение на вирус, подозрительное поведение компьютера.
Здравствуйте!
Впервые обращаюсь к вам, поэтому прошу быть терпимее и снисходительнее к моим возможным ошибкам.
Началось с того, что на компьютере не открывались некоторые сайты, причём без определённой логики. Просто некоторые открывались, а некоторые нет. В то же время на другом компьютере открывались все.
Проверка компьютера с помощью KIS2010 со свежими базами результата не дала. Однако ранее периодически KIS2010 выдавал сообщения об обнаружении HEUR:trojan.win32.generic . Убивал его, а через какое-то время ситуация повторялась.
Подозревая настройку компьютера ребёнком (а за ним уже ранее приходилось исправлять), создали нового пользователя с администраторскими полномочиями, а прежнего пользователя оставили ребёнку и оных полномочий лишили. Стало наблюдаться интересное явление: очень редко под новым пользователем (адм.полномочия) запускался explorer.exe - чаще не запускался. Приходилось его запускать вручную. Посвятил полдня изучения опыта людей со схожей проблемой, но ничего подозрительного в реестре найдено не было. В конечном итоге (как рекомендовали на одном из форумов) удалил ветки реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\StreamMRU
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Streams
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\StuckRects2
и запустил "sfc /scannow".
После этого перезагрузил компьютер. Explorer.exe запустился теперь нормально. Вэб-Антивирус KIS2010 обнаружил тот же HEUR:trojan.win32.generic, но почему-то в Сети, а приложение - "Приложение служб и контроллеов". KIS2010 все эти обращения запретил. (скриншоты этого события и последующих обнаружений имеются).
Далее был скачан свежий CureIt и компьютер проверен им в безопасном режbме. Было найдено Trojan.PWS.Ibank.39 и Trojan.Packed.20323
Далее компьютер снова был проверен KIS2010. Был найден в нескольких местах и удалён Trojan-Dropper.Win32.Shiz.dy
Больше ничего не находилось.
Сайты открываются все (которые проверял), explorer.exe самостоятельно запускается во всех пользователях. Смущает, что различную заразу KIS2010 находил в момент, когда я то и дело запускал VLCportable - возможно это просто было два таких совпадения. Ещё смущает, что теперь Skype запускается, но не входит в сеть, сообщая, что комбинация логина и пароля его не устраивают и что возможно где-то уже запущена эта учётная запись скайпа.
Да и вообще хочется убедиться, что компьютер чистый.
Помогите мне, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('\\?\globalroot\systemroot\system32\dvbv2f2.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\dvbv2f2.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
-
-
Junior Member
- Вес репутации
- 51
сделал всё как просили (или как я понял)
кстати, Skype запустился как положено
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('0.exe','');
DeleteFile('0.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 51
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
===поэтому файл называется quarantine2.zip
-
Junior Member
- Вес репутации
- 51
даже с двоичкой "данный файл уже был загружен"
-
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 51
-
Если больше ничего не беспокоит - все
-
-
Junior Member
- Вес репутации
- 51
Кроме слов благодарности, могу ли я как-то вас вознаградить ?
-
- Проведите процедуру, которая описана в первом сообщении тут.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-