Показано с 1 по 12 из 12.

Похоже, завёлся вирус (заявка № 93234)

  1. #1
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    23

    Thumbs up Похоже, завёлся вирус

    Добрый день!
    Я не специалист, поэтому немного опишу ситуацию..
    С системой (Windows XP SP3) ничего особенного не происходило, всё работало как обычно и вроде как ничто не мешало нормальной работе. Но какое-то время назад я заметил, что мой антивирус (NOD32 Antivirus 4) не может обновиться. Попробовал зайти на сайты антивирусов, в том числе на этот форум, но ничего не получилось. После каждой перезагрузки раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes был до макушки забит какими-то ip-адресами. Антивирус мог обновиться только через некоторое время после того, как я удалял все эти ip-адреса, но сайты антивирусов по-прежнему не открывались (хотя вчера заметил, что если перезапустить сетевое подключение после удаления ip-адресов, сайты открываются).
    Через несколько дней, в течение которых я постоянно удалял эти ip-адреса после каждой перезагрузки, они иногда перестали появляться в реестре, а сайты антивирусов, в том числе и ваш форум, стало возможным открыть. При попытке скачать AVZ, HiJackThis и Kaspersky Virus Removal TOOL по прямым ссылкам, а так же при переходе по ссылкам на форуме, связанным с этими утилитами, браузер вылетает. При попытке скачать с депозита, скачивание через браузер не начинается, через Download Master качается с последующим выключением браузера..
    AVZ и HiJackThis (в том числе переименованная), отключаются сразу после запуска, однако при выключенном эксплорере работают вроде как нормально. Kaspersky Virus Removal TOOL в безопасном режиме устанавливается нормально, но запускается только при выключенном эксплорере.
    Сделал лог HiJackThis, приготовился создать тему с просьбой о помощи и обнаружил, что папки ЛОГ и КАРАНТИН (AVZ) пропали, пришлось сканировать ещё раз. Теперь вроде всё готово))
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    такой http://virusinfo.info/showthread.php?t=53070 лог сделайте

  4. #3
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    23
    вот сделал. скачать программу смог также после завершения процесса explorer.exe...
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ahsgltu.exe,
    O2 - BHO: (no name) - BHO Helper - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)
    
    O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\WINDOWS\system32\ahsgltu.exe','');
    DeleteFile('c:\WINDOWS\system32\ahsgltu.exe');
    QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\806V8U1K\ea5f50[1].exe ','');
    DeleteFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\806V8U1K\ea5f50[1].exe ');
     QuarantineFile('C:\WINDOWS\system32\drivers\cmcantirootkit.sys','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    Повторите логи по правилам. В том числе MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    23
    карантин отправил. вот новые логи. пробовал включать AVZ, HiJackThis и MBAM при запущенном explorer.exe, всё получилось.
    Вложения Вложения
    Последний раз редактировалось robodroid; 10.12.2010 в 13:28.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Смените все пароли

    Удалите в МВАМ
    Код:
    Заражённые папки:
    c:\documents and settings\Admin\application data\winxrar (Trojan.Agent) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\Admin\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\key (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\s.htm (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sview (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    23
    всё удалил
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2917
    Плохого не видно. Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    23
    похоже, что всё нормально. браузер при переходе по ссылкам на скачивание утилит не вылетает, как раньше, никаких особенностей нет. большое Вам спасибо!))
    скажите, пожалуйста, что это было и какие задачи оно выполняло

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Трояны были. А какие задачи - это у автора надо спрашивать, но ничего хорошего, это уж точно
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    23
    спасибо!!!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\local settings\\temporary internet files\\content.ie5\\806v8u1k\\ea5f50[1].exe - Backdoor.Win32.Shiz.apm ( DrWEB: Trojan.MulDrop1.52533, BitDefender: Trojan.Generic.5236291, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )
      2. c:\\windows\\system32\\ahsgltu.exe - Backdoor.Win32.Shiz.apm ( DrWEB: Trojan.MulDrop1.52533, BitDefender: Trojan.Generic.5236291, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )


  • Уважаемый(ая) robodroid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Похоже вирус
      От shoop в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.06.2011, 22:56
    2. Похоже вирус!
      От PuBlik в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.01.2010, 22:40
    3. Похоже на вирус
      От sjaunty в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.11.2009, 22:06
    4. Похоже на вирус
      От Nameqa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.11.2009, 18:56
    5. похоже на вирус
      От ruselh в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.06.2008, 10:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00365 seconds with 24 queries