Показано с 1 по 19 из 19.

Не работают антивирусные сайты - TR/Patched.GM.6 (заявка № 90977)

  1. #1
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23

    Не работают антивирусные сайты - TR/Patched.GM.6

    Началось с того, что обнаружил в автозагрузке странный файл, состоящий из цифр.exe. Полез в ту папку \Local Settings\Temp и обнаружил там кучу таких файлов. Запустил сканнер Авиры, он нашел несколько подозрительных TR/Patched.GM.6, в частности в explorer.exe. Полез на антивирусные сайты, они все не работают, даже этот не работал. Но заработал после команды route -f.

    Подскажите, как бороться?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Отключите системное восстановление!!! как- посмотреть можно тут
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINXP\system32\stylyi.exe','');
     QuarantineFile('C:\WINXP\system32\a7249dcf.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3324464501-9651551010-379352792-2154\syscr.exe','');
     QuarantineFile('C:\Documents and Settings\A\Application Data\ltzqai.exe','');
     QuarantineFile('C:\WINXP\system32\drivers\JulaWdm.sys','');
     QuarantineFile('C:\WINXP\system32\drivers\Jula.sys','');
     QuarantineFile('c:\winxp\system32\julapan.exe','');
     DeleteFile('C:\Documents and Settings\A\Application Data\ltzqai.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3324464501-9651551010-379352792-2154\syscr.exe');
     DeleteFile('C:\WINXP\system32\a7249dcf.exe');
     DeleteFile('C:\WINXP\system32\stylyi.exe');
     DeleteFile('C:\WINXP\system32\2f047a20.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог Gmer
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23
    Сделал.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23
    И этот ещё. Дважды пробовал, но почему-то вместе со всеми не прикрепился.
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Сохраните текст ниже как 1.bat в ту же папку, где находится ncc3w44x.exe (GMER) и запустите этот батник(1.bat):
    Код:
    ncc3w44x.exe -del service tcwhswmp
    ncc3w44x.exe -del file "C:\WINXP\system32\ncyoi.dll"
    ncc3w44x.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tcwhswmp"
    ncc3w44x.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tcwhswmp"
    ncc3w44x.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  7. #6
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23
    А то, что Mbam нашел - делать с этим что-нибудь, удалить, или не трогать? Пока прога открыта, а то довольно долгий процесс сканирования, если комп перезагрузится и потом это делать.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от saiko3p Посмотреть сообщение
    А то, что Mbam нашел - делать с этим что-нибудь, удалить, или не трогать?
    в логе подозрительного нет

  9. #8
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23
    Ааа, я подумал что это опасные штуки:

    C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> No action taken.
    C:\Program Files\The Bat!\Keygen.exe (Trojan.Agent.CK) -> No action taken.

    Добавлено через 5 минут

    Запустил 1.бат но вылезла ошибка:

    An error 0x00000002 occured during deletion of file "C:\WINXP\system32\ncyoi.dll": не удается найти указанный файл

    Добавлено через 1 час 7 минут

    thyrex - помогите, плз, добить гадов, а то polword похоже ушел.
    Последний раз редактировалось saiko3p; 03.11.2010 в 15:37. Причина: Добавлено

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Лог gmer новый сделайте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23
    Сделал.
    Вложения Вложения
    • Тип файла: log gmer.log (11.0 Кб, 3 просмотров)

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Здесь чисто

    Папку C:\Program Files\Common Files\2c8d5501 удалите вручную

    Смените все пароли

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23
    Сайты антивирусов заработали с тех пор как я прописал "route -f", с тех пор работают без проблем.
    Но при проверке Авира по прежнему находит:

    C:\WINXP\explorer.exe
    [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.GM.6
    [ПРЕДУПРЕЖДЕНИЕ] 'Троянская программа TR/Patched.GM.6'.
    C:\WINXP\system32\dllcache\explorer.exe
    [ОБНАРУЖЕНИЕ] Троянская программа TR/Patched.GM.6

    Или это ложное срабатывание?

    И ещё подскажите,плз, чтобы sp3 и обновления поставить - нужно самому всё качать, или винда само может всё автоматом сделать??

    Добавлено через 59 минут

    Проверил файл на сайте вирустотал:

    File name:
    explorer.exe
    Submission date:
    2010-11-03 21:30:36 (UTC)
    Current status:
    finished
    Result:
    1/ 43 (2.3%)

    Видимо, ложная тревога.
    Последний раз редактировалось saiko3p; 04.11.2010 в 00:39. Причина: Добавлено

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    C:\WINXP\explorer.exe и C:\WINXP\system32\dllcache\explorer.exe замените чистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654

    А лучше сразу приступить к обновлению системы
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23
    Большое спасибо за помощь! Установил все обновления, теперь авира ничего не находит.

  16. #15
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23
    Возник ещё вопрос: всех этих и обновлений и антивируса со встроенным фаирволом (у меня Avira premium security suit) достаточно, чтобы дрянь всякая не лезла в комп, или нужно ещё что-то поставить?

  17. #16
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23
    ?

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Чтобы ответить на Ваш вопрос, нужно пользоваться данным продуктом
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    03.11.2010
    Сообщений
    16
    Вес репутации
    23
    Обновил винду, но теперь стало "Эта копия Windows не прошла проверку подлинности" и windows update не работает из-за этой подлинности (подлости!).

    Удалил отсюда HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify папку ‘WgaLogon’
    Теперь не достаёт меня надписями при загрузке, но как быть с установкой критических обновлений?

    В настройках у меня включено автом. обновление. Поставил там время на 0.00 и перезагрузил комп, но в это время никаких шевелений (обращений к винту и тд) не было.
    Теперь винда не будет обновляться?

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,561
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 17
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) saiko3p, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 04.05.2011, 21:00
    2. не работают антивирусные сайты и пр. (заявка №68162)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 30.04.2011, 06:00
    3. Не работают соцсети и антивирусные сайты
      От maxi s в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 24.10.2010, 21:15
    4. Не заходит на антивирусные сайты/Не работают avz ,hijackthis
      От Одноразовый в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.10.2010, 17:17
    5. Ответов: 3
      Последнее сообщение: 15.08.2010, 22:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00663 seconds with 22 queries