Показано с 1 по 16 из 16.

Помогите с вирусом (заявка № 92055)

  1. #1
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    8
    Вес репутации
    23

    Помогите с вирусом

    Доброго времени суток уважаемые форумчане. Вчера обнаружил что компьютер заражен вирусом. Сначала обнаружил что в KIS(у меня лицензия) появилась надпись: Требуется перезаргрузить Kaspersky Internet Security. Хотя больше года им пользуюсь и ни разу не видел такой надписи. Полез в гугл чтоб скачать AVZ, и в поле ввода слов для поиска вылезла такая ахинея:testtesttesttesttesttesttesttest. Далее было еще "веселей", если в настройках AVZ выставить "Блокировать работу RootKit User-Mode" то ее просто вышибало с ошибкой в advapi32.dll. Если же не ставить то выдавала что перехвачено куча функций из advapi32.dll и netapi32.dll.
    Вложения Вложения

  2. Реклама
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    8
    Вес репутации
    23
    Нет, только что глянул в фаре, такого файла вообще нету

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Цитата Сообщение от Krinkels Посмотреть сообщение
    Нет, только что глянул в фаре, такого файла вообще нету
    Видно остатки.
    Выполните скрипт
    Код:
    begin
     DeleteFile('C:\file.exe');
     DeleteFile('C:\Windows\Tasks\Test Task.job');
    ExecuteSysClean;
    end.
    Сделайте лог полного сканирования МВАМ

  6. #5
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    8
    Вес репутации
    23
    Просканировал. Вот лог.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Проверим некоторые файлы, выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
     QuarantineFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP163\A0060827.exe','');
     QuarantineFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP177\A0061885.exe','');
     QuarantineFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP177\A0061893.exe','');
     QuarantineFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP181\A0063506.exe','');
     QuarantineFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP182\A0064881.exe','');
     QuarantineFile('C:\Win.old\Documents and Settings\Krinkelss\Application Data\Desktopicon\eBayShortcuts.exe','');
     QuarantineFile('C:\Win.old\Documents and Settings\Krinkelss\Мои документы\Авторан\Paint Bitmap Dlg\sample.exe','');
     QuarantineFile('C:\Windows\psftp.exe','');                    
     QuarantineFile('C:\Windows\KMSAct.exe','');       
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Затем следующий
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
    в шапке Вашей темы.
    Последний раз редактировалось Шапельский Александр; 20.11.2010 в 15:20.

  8. #7
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    8
    Вес репутации
    23
    При выполнении первого скрипта AVZ вылетела с ошибкой:
    Код:
    Сигнатура проблемы:
      Имя события проблемы:	APPCRASH
      Имя приложения:	avz.exe
      Версия приложения:	4.35.0.1
      Отметка времени приложения:	2a425e19
      Имя модуля с ошибкой:	advapi32.dll
      Версия модуля с ошибкой:	6.1.7600.16385
      Отметка времени модуля с ошибкой:	4a5bd97e
      Код исключения:	c0000096
      Смещение исключения:	00022a53
      Версия ОС:	6.1.7600.2.0.0.256.1
      Код языка:	1049
      Дополнительные сведения 1:	c396
      Дополнительные сведения 2:	c396f6d0bf25ca718fa81ec7f959a449
      Дополнительные сведения 3:	c396
      Дополнительные сведения 4:	c396f6d0bf25ca718fa81ec7f959a449

  9. #8

  10. #9
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    8
    Вес репутации
    23
    Готово.
    Файл сохранён как 101120_153045_quarantine_4ce7bf753c757.zip
    Размер файла 1501753
    MD5 ffde92d19857f3667333c33948160c9f

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Ждем результата анализа

    Добавлено через 16 минут

    Выполните скрипт
    Код:
    begin
     DeleteFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP177\A0061893.exe');
     DeleteFile('C:\Windows\KMSAct.exe');       
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Что с проблемой?
    Последний раз редактировалось Шапельский Александр; 20.11.2010 в 15:51. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    8
    Вес репутации
    23
    Есть небольшие улучшения. В AVZ klif.sys появился. Вот лог на всякий случай.
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    В логе чисто
    Цитата Сообщение от Krinkels Посмотреть сообщение
    В AVZ klif.sys появился
    --это от KIS 2011

  14. #13
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    8
    Вес репутации
    23
    Цитата Сообщение от SAE Посмотреть сообщение
    это от KIS 2011
    Угу. Но то что функции перехвачены в advapi32.dll и netapi32.dll все равно осталось

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Цитата Сообщение от Krinkels Посмотреть сообщение
    Угу. Но то что функции перехвачены в advapi32.dll и netapi32.dll все равно осталось
    Это нормально.

  16. #15
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    8
    Вес репутации
    23
    Но почему тогда если в AVZ поставить Блокировать работу RootKit User-Mode то вылетает с ошибкой?

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,507
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Krinkels, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. помогите с вирусом
      От Ivanushka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.10.2011, 11:13
    2. Помогите с вирусом!
      От keda в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.07.2011, 17:13
    3. Помогите с вирусом
      От anshau в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.05.2010, 18:15
    4. Помогите с вирусом
      От SergeySS в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 25.12.2009, 22:43
    5. ПОМОГИТЕ С ВИРУСОМ
      От Eclipse в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.01.2008, 13:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01169 seconds with 21 queries