-
Junior Member
- Вес репутации
- 50
Новая папка.ехе, никуда зайти не могу..ничего скачать не могу.
Здравствуйте, значит такая проблема. Принесла подруга на флешке вирус Новая папка. ексе, я по неопытности нажал, и теперь и у меня на флешке ибо она была на той момент вкл. в комп, и на компе, на всех дисках, кароче везде...комп, тупит, ниче запустить не можна, на все антивирусные сайты зайти немогу. Еле, еле зашло на страничку с правилами, я ее скопировал, потому что уже зайти на нее не могу. Прочитал, там сказано скачать утилиту АВЗ, на указаные ссылки зайти не могу.. ни мозилой, ни експлоером, есть у меня образы с етой прогой, запустить не могу, даже не успеваю нажать пуск для проверки, сразу же вырубает.., на сайт Др. Веба и Каспера не заходит, скачал с Файлообменников, с образов, ни доктор ВЕб, ни каспер, устанавливатся не хочет, пробывал Аваст, так вирус вооще удаляет екзешный файл, тоисть запустить утсановку не могу. Заблокирован диспетчер задач администратором, реестр заблокирован. Единственное что скачал, и запустил это mink.pif. базы в нем обновить не могу.
Вот что он показал
Внимание !!! База поcледний раз обновлялась 02.06.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.34 private build
Сканирование запущено в 03.11.2010 1:50:41
Загружена база: сигнатуры - 273518, нейропрофили - 2, микропрограммы лечения - 56, база от 02.06.2010 10:52
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 205877
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: GetProcAddress - 00BAAE45<>7C80AE40
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (80572EAD->F74F9D20), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (805735B4->F752DFFE), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80590679->F752E38C), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (80568EF9->F74F9D00), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (805732BD->F752E464), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (8056A392->F752E2E4), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80579A53->F752E4F6), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A78E1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A78E1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8A496430 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8A496430 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 31
Количество загруженных модулей: 299
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\plspnt.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\plspnt.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> Обратите внимание - заблокирован диспетчер задач
>>> C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> C:\qdhb.exe ЭПС: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\Open]
>>> C:\qdhb.exe ЭПС: подозрение на скрытый автозапуск C:\autorun.inf [Autorun\shell\open\command]
>>> E:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> E:\oudq.pif ЭПС: подозрение на скрытый автозапуск E:\autorun.inf [Autorun\Open]
>>> E:\oudq.pif ЭПС: подозрение на скрытый автозапуск E:\autorun.inf [Autorun\shell\open\command]
>>> G:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> G:\edeomf.cmd ЭПС: подозрение на скрытый автозапуск G:\autorun.inf [Autorun\Open]
>>> G:\edeomf.cmd ЭПС: подозрение на скрытый автозапуск G:\autorun.inf [Autorun\shell\open\command]
>>> H:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> H:\qvbwf.pif ЭПС: подозрение на скрытый автозапуск H:\autorun.inf [Autorun\Open]
>>> H:\qvbwf.pif ЭПС: подозрение на скрытый автозапуск H:\autorun.inf [Autorun\shell\open\command]
>>> I:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> I:\pdsw.exe ЭПС: подозрение на скрытый автозапуск I:\autorun.inf [Autorun\Open]
>>> I:\pdsw.exe ЭПС: подозрение на скрытый автозапуск I:\autorun.inf [Autorun\shell\open\command]
>>> Обратите внимание - заблокирован редактор реестра
>>> C:\WINDOWS\system32\sol.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Блокировка редактора реестра
>> Блокировка диспетчера задач
Проверка завершена
Просканировано файлов: 330, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 03.11.2010 1:51:18
Сканирование длилось 00:00:38
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Да, видел етсь тут похожие темы, я их прочитал, добавлял ети скрипты в авз, но после перезагрузки ничего не было в карантине что выкидывало в авз не успевал прочитать. Спасиба за внимание, если оно конечно будет к моей теме, еще раз, прошу о помощи. Взавтра, пойду на работу, скачаю лайф сД д.веба, мб оно поможет прогнать компа на вирусы, но читая посты, то мало кому это помагало.
Да, пробую в безопасный режим, синий экран..
Последний раз редактировалось Серёж; 03.11.2010 в 03:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
логи сделать попробуйте mink.pif, если не получиться попробуйте сделать лог Combofix. Если не получиться, попробуйте сделать лог Combofix в безопасном режиме
-
-
Junior Member
- Вес репутации
- 50
вот лог комбофикса
проверил, компа комбофиксом, нехочет архивировать, что бы послать на карантин, прикрепляю текстовый вариант
Последний раз редактировалось Серёж; 04.11.2010 в 17:07.
-
пролечитесь так
после лечения- комплект логов по правилам
-
-
Junior Member
- Вес репутации
- 50
я не смог запустить лайф сд, почему то не грузится из сд рома, но я запустил авз, со стандартными скриптами, обновило програму, и просканирувал систему, все диски. Карантин отправил согласно правилам.
Последний раз редактировалось Серёж; 04.11.2010 в 00:49.
Причина: Добавлено
-
И где логи AVZ по правилам ?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
не дочитал правила, отправил еще 2 лога AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log
-
Логи прикрепляют к сообщению, а не отправляют неизвестно куда
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
- Скачайте такую утилиту и пролечитесь ей
-
-
Junior Member
- Вес репутации
- 50
я отправил на карантин, тут у вас не поймеш)))) то пишете прикреплять, то отправлять на карантин))) приду домой, прикреплю сюда.
-
Сообщение от
Серёж
я отправил на карантин, тут у вас не поймеш)))) то пишете прикреплять, то отправлять на карантин))) приду домой, прикреплю сюда.
Если внимательно читать правила, там столько интересного для себя откроете
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Салити активен. Попробуйте выполнить совет из сообщения №9 (предварительно записав утилиту на CD на чистом от вирусов компьютере)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
не могу ее открыть, завтра на работе посмотрю что там, и попробую запустить...
-
Вот на работе скачайте утилиту, запишите на болванку, почитайте инструкцию, а дома пролечитесь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Всё пролечил Загрузку выставил с сд, вставил болванку, перегрузил, и комп не включился..монитор темный, чё то грузится.. но не вкл. Несу в офис тех сервис...
-
Сообщение от
Серёж
Загрузку выставил с сд
Вы в BIOS загрузку выставили что ли?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
сгорела материнская плата..