Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Набор вирусов (заявка № 82536)

  1. #1
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24

    Thumbs up Набор вирусов

    Добрый вечер!
    Прошу помощи.
    Симптомы: в IE8 пункт меню (правой кнопки мыши) 'сохранить объект как' всегда disabled. Торможение во время выключения компьютера.
    AVPTool в Safe Mode обнаружил и удалил Exploit.Java.Agent.ai, Trojan-Downloader.Java.Agent.ee, Trojan-Downloader.Java.Agent.ef: ...\Application Data\Sun\Java\Deployment\cache\6.0\...
    Спасибо!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,045
    Вес репутации
    1254
    Дайте угадаю - был баннер? Давайте бить скотов -
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    O4 - HKCU\..\Run: [Shell] C:\Documents and Settings\All Users\systems.exe
    и Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\thumbs.db','');
     QuarantineFile('C:\WINDOWS\system32\x264vfw.dll','');
     QuarantineFile('C:\WINDOWS\system32\blphc11sj0ej47.scr','');
     QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
     DeleteFile('C:\Documents and Settings\All Users\systems.exe');  
     DelAutorunByFileName('C:\Documents and Settings\All Users\systems.exe');          
     BC_ImportAll;
     ExecuteSysClean;                                   
     ExecuteWizard('TSW',2,2,true);                                                                 
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой Прислать запрошенный карантин над первым сообщением этой темы)

    Повторите логи.
    Последний раз редактировалось olejah; 06.07.2010 в 08:43.

  4. #3
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    Спасибо!
    Да, в мае было что-то вроде баннера, но без блокировки компьютера. Пролечил антивирусами, и все видимые симптомы исчезли - думал, что избавился полностью.
    Карантин загрузил, логи сделаю вечером.

  5. #4
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    На всякий случай параметры карантина, который загрузил утром:
    Файл сохранён как 100706_091906_virus_4c32bcca577bb.zip
    Размер файла 287894
    MD5 0466000fdc048963bd85a47cd2b9efe0

    Присоединяю логи.
    Спасибо!
    Вложения Вложения

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,045
    Вес репутации
    1254
    Ваш карантин пришёл, вот этот товарищ - C:\WINDOWS\system32\blphc11sj0ej47.scr идти в карантин отказался. Варианты - поищите его через АВЗ - Сервис - Поиск файлов на диске, когда найдёт отметьте галочкой и нажмите "Копировать отмеченные файлы в карантин". Если он и так не пойдёт, можно попробовать ручками запаковать с паролем virus и опять же, прислать как карантин, и ещё - скажите мне, имеете ли Вы понятие о том, что это вообще за файл или Вам не известно откуда он там взялся и для чего он. Подозрительный он больно.

  7. #6
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    AVZ файл с таким именем на диске C не нашел. Поиск в проводнике тоже. Не представляю, что это за файл. Возможно, что он был удален руками когда-то давно (точно не в последнее время)? Что еще могу сделать?

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,045
    Вес репутации
    1254
    Давайте тогда так -

    Выполните скрипт в АВЗ -

    Код:
    begin
     If FileExists('C:\WINDOWS\system32\blphc11sj0ej47.scr') then
     begin             
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\blphc11sj0ej47.scr','');
     DeleteFile('C:\WINDOWS\system32\blphc11sj0ej47.scr');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
     AddToLog('File Was Found')
     end else
     AddToLog('File Was Not Found') ;                                                                 
     SaveLog(GetAVZDirectory + 'avz.log');
    end.
    Файл avz.log из папки AVZ прикрепите к сообщению. Логи повторите, как сейчас дела обстоят с проблемами?

  9. #8
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    AVZ.LOG - ничего не найдено..
    Логи присоединил. Пункт меню в IE 'сохранить объект как..' по-прежнему disabled.
    Вложения Вложения

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,045
    Вес репутации
    1254
    Следующий этап -

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);   
     QuarantineFile('wkkpecu.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
     DeleteFile('wkkpecu.sys');
     DeleteFile('C:\thumbs.db');
     DeleteService('wkkpecu');     
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Если я Вас не замучал, то повторите логи

  11. #10
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    Конечно, не замучали - наоборот, очень благодарен!
    Скрипты выполнил. Карантин загрузил.
    Файл сохранён как100707_202939_quarantine_4c34ab73a8338.zipРазмер файла22385MD525533a663b8da430ca245c4898e23959
    Сейчас сделаю логи.

  12. #11
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    Прсоединяю логи. Симптом (disabled пункт меню в IE) по-прежнему присутствует.
    Жду новых рекомендаций. Спасибо!
    Вложения Вложения

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,045
    Вес репутации
    1254
    Я не обнаружил в логах вредоносных объектов, но давайте подождём, что скажут другие хелперы.
    Симптом (disabled пункт меню в IE) по-прежнему присутствует.
    Это уже вряд ли от наличия зловредов зависит.

  14. #13
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    Внимание! Неожиданное продолжение: скачивал апдейты и обновления безопасности и получил новое заражение (системное сообщение о выполнении java скрипта, после чего появились новые exe файлы в /system32/, новая копия svchost.exe, блокировался доступ к virusinfi.info и т.д.) Работающий SpiderGuard ничего не выдал. Пролечил сканером Drweb и в безопасном режиме AVPTool. Найдены вирусы.
    Присоединяю новые логи.
    Вложения Вложения

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,045
    Вес репутации
    1254
    Вышла новая версия АВЗ, скачайте, обновите базы и сделайте логи ей - z-oleg.com

    Пока можно так, чтобы полегчало -

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');    
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(20);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  16. #15
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    Загрузил новую версию и обновил базы AVZ (на другом компьютере). Выполнил оба скрипта - прислал карантин:
    Файл сохранён как100714_212128_quarantine_4c3df21831f34.zip


    Размер файла
    33484
    MD5
    c9e2027763c4dfa56bcdbbad98ae113c

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,045
    Вес репутации
    1254
    А логи?

  18. #17
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    Логи только что подоспели - первый больно долго выполняется. Спасибо!
    Вложения Вложения

  19. #18
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    Переделал логи еще раз, поскольку в открытом IE вновь произошло выполнение какого-то java скрипта, самопроизвольно открылся media player и т.п. Немедленно отключил сеть, перегрузился и пролечил AVPTool (найден 1 вирус).
    Дата svchost.exe в папке system32 по-прежнему 13.07.2010.
    Но сайт virusinfo доступен.
    Скачал патчи и обновления безопасности, но пока не ставлю - жду указаний. Спасибо.
    Вложения Вложения

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Lbd.sys','');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('SpoolerRpcSs');
     BC_DeleteSvc('TrkWksSwPrv');
     BC_DeleteSvc('HTTPFilterIDriverT');
     BC_DeleteSvc('DcomLaunchWZCSVC');
     BC_DeleteSvc('AlerterNtLmSsp');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  21. #20
    Junior Member Репутация
    Регистрация
    05.07.2010
    Сообщений
    16
    Вес репутации
    24
    Скрипт выполнил. Завершение работы после него шло ОЧЕНЬ долго с активной записью на диск. После перезагрузки дата svchost.exe в system32 по-прежнему 13.07.2010.
    Сделал логи, присоединяю.
    Вложения Вложения

  • Уважаемый(ая) runs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Очень странный набор вирусов
      От eppa в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.07.2010, 17:03
    2. Небольшой набор вирусов
      От alivan в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.02.2010, 19:30
    3. Набор неудаляемых вирусов
      От V3Rd1kT в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.12.2009, 22:46
    4. Наборчик вирусов
      От Monolith в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.06.2009, 12:10
    5. Набор вирусов, веб камера не работает.
      От kostik-x в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 04:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00664 seconds with 21 queries