Показано с 1 по 12 из 12.

Похоже, завёлся вирус (заявка № 93234)

  1. #1
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50

    Thumbs up Похоже, завёлся вирус

    Добрый день!
    Я не специалист, поэтому немного опишу ситуацию..
    С системой (Windows XP SP3) ничего особенного не происходило, всё работало как обычно и вроде как ничто не мешало нормальной работе. Но какое-то время назад я заметил, что мой антивирус (NOD32 Antivirus 4) не может обновиться. Попробовал зайти на сайты антивирусов, в том числе на этот форум, но ничего не получилось. После каждой перезагрузки раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes был до макушки забит какими-то ip-адресами. Антивирус мог обновиться только через некоторое время после того, как я удалял все эти ip-адреса, но сайты антивирусов по-прежнему не открывались (хотя вчера заметил, что если перезапустить сетевое подключение после удаления ip-адресов, сайты открываются).
    Через несколько дней, в течение которых я постоянно удалял эти ip-адреса после каждой перезагрузки, они иногда перестали появляться в реестре, а сайты антивирусов, в том числе и ваш форум, стало возможным открыть. При попытке скачать AVZ, HiJackThis и Kaspersky Virus Removal TOOL по прямым ссылкам, а так же при переходе по ссылкам на форуме, связанным с этими утилитами, браузер вылетает. При попытке скачать с депозита, скачивание через браузер не начинается, через Download Master качается с последующим выключением браузера..
    AVZ и HiJackThis (в том числе переименованная), отключаются сразу после запуска, однако при выключенном эксплорере работают вроде как нормально. Kaspersky Virus Removal TOOL в безопасном режиме устанавливается нормально, но запускается только при выключенном эксплорере.
    Сделал лог HiJackThis, приготовился создать тему с просьбой о помощи и обнаружил, что папки ЛОГ и КАРАНТИН (AVZ) пропали, пришлось сканировать ещё раз. Теперь вроде всё готово))

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    такой http://virusinfo.info/showthread.php?t=53070 лог сделайте

  4. #3
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50
    вот сделал. скачать программу смог также после завершения процесса explorer.exe...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ahsgltu.exe,
    O2 - BHO: (no name) - BHO Helper - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)
    
    O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\WINDOWS\system32\ahsgltu.exe','');
    DeleteFile('c:\WINDOWS\system32\ahsgltu.exe');
    QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\806V8U1K\ea5f50[1].exe ','');
    DeleteFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\806V8U1K\ea5f50[1].exe ');
     QuarantineFile('C:\WINDOWS\system32\drivers\cmcantirootkit.sys','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.

    Повторите логи по правилам. В том числе MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50
    карантин отправил. вот новые логи. пробовал включать AVZ, HiJackThis и MBAM при запущенном explorer.exe, всё получилось.
    Последний раз редактировалось robodroid; 10.12.2010 в 13:28.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Смените все пароли

    Удалите в МВАМ
    Код:
    Заражённые папки:
    c:\documents and settings\Admin\application data\winxrar (Trojan.Agent) -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\Admin\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\key (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\s.htm (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\sview (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50
    всё удалил

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Плохого не видно. Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50
    похоже, что всё нормально. браузер при переходе по ссылкам на скачивание утилит не вылетает, как раньше, никаких особенностей нет. большое Вам спасибо!))
    скажите, пожалуйста, что это было и какие задачи оно выполняло

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Трояны были. А какие задачи - это у автора надо спрашивать, но ничего хорошего, это уж точно
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    12.09.2010
    Сообщений
    12
    Вес репутации
    50
    спасибо!!!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\local settings\\temporary internet files\\content.ie5\\806v8u1k\\ea5f50[1].exe - Backdoor.Win32.Shiz.apm ( DrWEB: Trojan.MulDrop1.52533, BitDefender: Trojan.Generic.5236291, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )
      2. c:\\windows\\system32\\ahsgltu.exe - Backdoor.Win32.Shiz.apm ( DrWEB: Trojan.MulDrop1.52533, BitDefender: Trojan.Generic.5236291, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )


  • Уважаемый(ая) robodroid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Похоже вирус
      От shoop в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.06.2011, 22:56
    2. Похоже вирус!
      От PuBlik в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.01.2010, 22:40
    3. Похоже на вирус
      От sjaunty в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.11.2009, 22:06
    4. Похоже на вирус
      От Nameqa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.11.2009, 18:56
    5. похоже на вирус
      От ruselh в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.06.2008, 10:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01485 seconds with 17 queries