-
Junior Member
- Вес репутации
- 50
Вирусы...
Здравствуйте.
Такая вот беда..
На ноутбуке были вирусы.. AVG (free) ругалась постоянно, в карантин кидала, но сделать ничего так и не смогла..
На днях переустановил винду, поставил касперского лицензию (антивирус)(просканировал, ничего не обнаружено), всьо работало пока не начал устанавливать Яву( Java 1.6 скачаная с офф сайта).
Касперский начал сильно ругаться, непомню уже точно что говорил, но начал лечение, после перезагрузка. Перезагрузил, скачал яву 1.5 установилась нормально.. но.. касперский через пару минут опять нашел чтото, опять лечение... Вобщем как только интернет подключаю начинает Касперский ругаться, чтото нейтрализует, и по новой, одне и те же файлы, и интернет пропадает, заново подключить можно только после перезагрузки.
Из подозрительного в процессах был замечен Е001.ехе , С002.exe, J001.exe
Касперсокому не нравиться очень папка iSql, постоянно жалуется на нее, кстати АVG на подобные файлы жаловалась
п.с. сделал все по инструкцие, логи ниже
Прошу помочь, так как работать невозможно, ноут тормозит ужасно, клиенты ждут, а хакеры местные розводят руками..
Последний раз редактировалось skif_us; 27.07.2010 в 17:17.
Причина: обновил логи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\lvtwm.biz','');
DeleteFile('C:\WINDOWS\system32\lvtwm.biz');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Messenger\Parameters','ServiceDll');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2 ,2 ,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Обновите базу AVZ!!!
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 50
Обновил логи, скрипт выполнил но ноут нивкакую нехотел перезагружаться, завис на выключении, в карантине пусто...
-
-
-
Junior Member
- Вес репутации
- 50
сейчас попробую, файл lvtwm.biz не переместился в карантин, лежыт в систем32
-
Сообщение от
skif_us
сейчас попробую, файл lvtwm.biz не переместился в карантин, лежыт в систем32
Заархивируйте его с паролем "virus" и загрузите по ссылке "прислать запрошенный карантин"
-
-
Junior Member
- Вес репутации
- 50
сделал логи той программой, прикрепляю их.
прогнал еще рас скрипт в авз в карантине появились файлы, их, и lvtwm.biz залил по ссылке "прислать запрошенный карантин"
-
Junior Member
- Вес репутации
- 50
и еще, часто выбивала ошыбка Service.exe и Generic ..... если еще рас появиться напишу точное название
-
Junior Member
- Вес репутации
- 50
и еще один момент.. безопасно ли в данной ситуацые работать с клиент-банком?
-
Сообщение от
skif_us
и еще один момент.. безопасно ли в данной ситуацые работать с клиент-банком?
Лучше не пользоваться. Файл в карантине детектируется как Trojan-PSW.Win32.Bjlog.kgz
Сообщение от
skif_us
прогнал еще рас скрипт в авз в карантине появились файлы, их, и lvtwm.biz залил по ссылке "прислать запрошенный карантин"
Отлично, сделайте новые логи
Последний раз редактировалось Никита Соловьев; 28.07.2010 в 18:26.
-
-
Junior Member
- Вес репутации
- 50
Спасибо что помагаете. Вот новые логи
-
Junior Member
- Вес репутации
- 50
ах да, еще один вопрос, касперского запускать? ато он ругаеться постоянно, чтото лечит, нейтрализирует, что б не натворил чего..)
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\nssm.exe');
QuarantineFile('C:\WINDOWS\system32\nssm.exe','');
DeleteFile('c:\windows\system32\lvtwm.biz');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_DeleteFile('c:\windows\system32\lvtwm.biz');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 50
сейчас сделаю..
еще заметил только что в статистике интернета - отправлено 90Мб (хотя ничего не заливал
в процесах был подозрительный файл 360....ехе
как только убил его отправка прекратилась
-
Junior Member
- Вес репутации
- 50
вот новые логи
опять идет непонятная отправка, в процесах немогу найти..интернет лимитный((
через пару мин карантин пришлю
-
Junior Member
- Вес репутации
- 50
Файл сохранён как 100730_132422_quarantine_4c529a46207bc.zip
Размер файла 552283
MD5 87af64d746b567ef04d0c4744dba0dde
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
StopService('361aCrfoah');
TerminateProcessByName('c:\windows\system32\nssm.exe');
QuarantineFile('C:\WINDOWS\system32\Antivirus.exe','');
DeleteService('MediaCenter');
QuarantineFile('C:\WINDOWS\system32\361iyroco.exe','');
QuarantineFile('c:\windows\system32\nssm.exe','');
DeleteFile('c:\windows\system32\nssm.exe');
DeleteFile('C:\WINDOWS\system32\Antivirus.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkShareSessionManager');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','NetworkShareSessionManager');
DeleteFile('C:\WINDOWS\system32\361iyroco.exe');
DeleteService('361aCrfoah');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 50
вот новые логи, аплоуд вроди прекратился
Файл сохранён как 100730_140141_quarantine_4c52a3056fe5c.zip
Размер файла 260354
MD5 8cd6bd5d0eea4e86a8b2cafb8d926e74
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('%System32%\sfcfiles.dll','');
QuarantineFile('c:\windows\system32\lvtwm.biz','');
BC_DeleteFile('c:\windows\system32\lvtwm.biz');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\Messenger\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\msgsvc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 50
обновил, прогнал скрипт, файл залил
Файл сохранён как 100802_144330_Quarantine_4c56a1526ed38.zip
Размер файла 551423
MD5 e513cc7e68327d673b2c103c3af4eb92
новый лог ниже