Проверьте, пожалуйста.
Printable View
Проверьте, пожалуйста.
Уважаемый(ая) [B]Паттттт[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\TEMP\{67DF251F-FDA1-4B0B-BD6A-AB71173E9ECE}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"] полного сканирования МВАМ[/url]
[QUOTE=Шапельский Александр;836376]Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\TEMP\{67DF251F-FDA1-4B0B-BD6A-AB71173E9ECE}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"] полного сканирования МВАМ[/url][/QUOTE]
Скрипт выпоняется, но в конце пишет: ошибка создания карантина.
Карантин, поэтому, прислать не могу
Лог MBAM делаю.
Лог MBAM
В логе чисто.
Рекомендую:
- установить [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете);
- установить последние обновления системы Windows - [URL="http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5"]здесь[/URL];
Большое спасибо. А почему карантин не получился?
[QUOTE]А почему карантин не получился?[/QUOTE]
Скорее всего данного файла нет во временной папке, а в логе присутствует след. Или файл является легитимным.
Большое спасибо. И ещё вопрос. Вчера сканиовал компьютер программой Virus removal tool Она сканировала компьютер 20 часов!!! и нашла и удалила Троянская программа Exploit.Java.CVE-2010-0840.o Высокая Точно C:\Documents and Settings\Сева\Application Data\Sun\Java\Deployment\cache\6.0\26\51bfab9a-1da50028/sob.class
Вопросы:
1.Троянская программа Exploit.Java.CVE-2010-0840.o Высокая Точно C:\Documents and Settings\Сева\Application Data\Sun\Java\Deployment\cache\6.0\26\51bfab9a-1da50028/sob.class - это был действительно вирус?
2. Почему Virus removal tool сканировал компьютер 20 часов?
3.В папке карантин от AVZ находятся два таких файла: bcqr00001.ini и bcqr00002.ini Что это за файлы?
4. В воскресенье вечером компьютер вдруг начал мигать. мигало всё, сисчезали и появлялись слова на страницах в интернете, в программах. Исчезали и появлялись часы, надпись пуск на кнопке пуск в левом нижнем углу ПК. Абсолютно не запускались AVZ и Dr Web cureit
Я перезагрузился в безопасный режим и там запустил AVZ и просканировал компьютер, и после просканировал компьютер в MBAM Они ничего не нашли. После всех сканов я снова перезагрузился в обычный режим. Всё снова работало нормально и пока больше с тех пор проблем не наблюдаю. Скажие, пожалуйста, что это было?
[QUOTE]1.Троянская программа Exploit.Java.CVE-2010-0840.o Высокая Точно C:\Documents and Settings\Сева\Application Data\Sun\Java\Deployment\cache\6.0\26\51bfab9a-1da50028/sob.class - это был действительно вирус?[/QUOTE]
Если утилита удалила файл, то с большой вероятностью, что это зловред.
[QUOTE]2. Почему Virus removal tool сканировал компьютер 20 часов?[/QUOTE]
Этот вопрос лучше задать здесь--[URL="http://forum.kaspersky.com/index.php?showforum=155"]http://forum.kaspersky.com/index.php?showforum=155[/URL]
[QUOTE]3.В папке карантин от AVZ находятся два таких файла: bcqr00001.ini и bcqr00002.ini Что это за файлы?[/QUOTE]
Откройте их в блокноте и посмотрите :)
[QUOTE]4. В воскресенье вечером компьютер вдруг начал мигать. мигало всё, сисчезали и появлялись слова на страницах в интернете, в программах. Исчезали и появлялись часы, надпись пуск на кнопке пуск в левом нижнем углу ПК. Абсолютно не запускались AVZ и Dr Web cureit
Я перезагрузился в безопасный режим и там запустил AVZ и просканировал компьютер, и после просканировал компьютер в MBAM Они ничего не нашли. После всех сканов я снова перезагрузился в обычный режим. Всё снова работало нормально и пока больше с тех пор проблем не наблюдаю. Скажие, пожалуйста, что это было?[/QUOTE]
Все что угодно :) Вирусы, ошибки ОС и т.д. и т.п.
Посмотрел я эти файлы: bcqr00001.ini и bcqr00002.ini
В них сказано, что NOVG.EXE это вирус. И что мне делать?
Выполните скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine_1.zip');
end.[/CODE]файл [B]quarantine_1.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы
Файл сохранён как 111025_161221_quarantine_1_4ea6dfe597857.zip
Размер файла 698
MD5 1339ac8587916d80c650a9319fa19b25
Выполните скрипт в [B]безопасном[/B] режиме
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\TEMP\{67DF251F-FDA1-4B0B-BD6A-AB71173E9ECE}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится.
Закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Скрипт выполнил. Папка карантин вообще пуста. В конце выполнения скрипта было написано: Ошибка карантина файла, ошибка прямого чтения из файла
Помогите, пожалуйста
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\TEMP\{67DF251F-FDA1-4B0B-BD6A-AB71173E9ECE}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE');
Deletefilemask('C:\TEMP','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
[B]Сделайте новый лог virusinfo_syscheck.zip[/B]
Скрипт выпонлняю.
Но, сканировал программой Trojan remover
Она нашла и удалила:
C:\WINDOWS\system32\Drivers\utg4nze1.sys appears to contain: ROOTKIT.AGENT
Это Руткит?
[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]
Скрипт выполнил. А как проверить, удалился файл, или нет?
[QUOTE]Скрипт выполнил. А как проверить, удалился файл, или нет?[/QUOTE]
Сделайте новый лог virusinfo_syscheck.zip
Trojan remover удаляет C:\WINDOWS\system32\Drivers\utg4nze1.sys appears to contain: ROOTKIT.AGENT
но после перезагрузки он появляется снова
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Кстати, при выполнении скрипта virusinfo_syscheck.zip пропадает галочка напротив диска C
Остальные галочки не исчезают. Это нормально?
Файл virusinfo_syscheck 1.zip - просто стандартный, а
virusinfo_syscheck.zip - выполнен с включённым AVZ Guard
Диск G--это флешка?
[QUOTE=Шапельский Александр;836476]Диск G--это флешка?[/QUOTE]
Да, это флэшка. Так что с файлом C:\WINDOWS\system32\Drivers\utg4nze1.sys appears to contain: ROOTKIT.AGENT и удалился ли тот файл, скрипт на удаление которого я делал?
Подсоедините флешку и сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"] полного сканирования МВАМ[/url] и
[B]virusinfo_sysсure.zip[/B]
[QUOTE]Так что с файлом C:\WINDOWS\system32\Drivers\utg4nze1.sys appears to contain: ROOTKIT.AGENT и удалился ли тот файл, скрипт на удаление которого я делал?[/QUOTE]Этот драйвер не удаляли. Подозреваю, что это ложное срабатывание.
NOVG.EXE' удалился или нет?
[QUOTE=Паттттт;836492]NOVG.EXE' удалился или нет?[/QUOTE]
Да.
Замечательно. Остальное делаю. Но из-за небыстрого выполнения virusinfo_sysсure.zip и сканирования MBAM логи скорее всего выложу завтра
Вчера я прогнал компьютер утилитой KidoKiller Утилита всё проверила, выдала, что угроз 0, написала в конце "Нажмите любую клавишу" и зависла.
Тогда я прогнал компьютер прораммой TDSKiller
Она нашла подозрительный файл HKLM\SYSTEM\ControlSet001\services\sptd Я нажал удалить (слова лечить не было). И после этого компьтер стал зависать сразу после загрузки в обычный режим. Тогда я в безопасном режиме выполнил в AVZ virusinfo_sysсheck.zip и когда перезагрузился в обычный режим как только высветилась иконка моего антивирусника (у меня Nod 32) я окрыл окно антивирусника и отрубил всю защиту. И зависон сразу после загрузки в обычном режиме прекратился. Я тут же снова врубил всю защиту антивирусника, но комп не зависал больше и пока пробем не наблюдаю. Сейчас прикреплю все логи, в том числе и лог TDSKiller Что это было?
[QUOTE]Она нашла подозрительный файл HKLM\SYSTEM\ControlSet001\services\sptd[/QUOTE]
[QUOTE]Что это было?[/QUOTE]
Это вполне легитимный сервис и драйвер sptd
Почему компьютер завис?
Я Вас просил сделать лог МВАМ и лог [B]virusinfo_sysсure.zip[/B] с подсоединенной флешкой.
[QUOTE=Шапельский Александр;836589]Я Вас просил сделать лог МВАМ и лог [B]virusinfo_sysсure.zip[/B] с подсоединенной флешкой.[/QUOTE]
Логи как раз сейчас делаются. Скоро выложутся.
Выкладываю логи:
Кстати сегодня AVZ стал выдавать такие строки, хотя раньше их не писал:
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [AE16B16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [AE16AFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверьте логи, и скажите, пожалуйста, есть ли вирусы, и почему вчера зависал компьютер?
Подсоедините флешку.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
А кроме этого файла всё чисто? Так почему же вис компьютер?
[QUOTE]А кроме этого файла всё чисто?[/QUOTE]
Да, кроме этого файла плохого не увидел.
Выполните следующее:
1. кнопка Пуск - Выполнить ввести cmd нажать Enter;
2. ввести chkdsk c: /f /r нажать Enter. Выскочит сообщение вида:"Невозможно выполнить команду chkdsk ......"
Нажмите клавишу Y;
3. введите exit затем нажать Enter;
4. перезагрузите ПК, во время перезагрузки будет выполнена проверка и исправление ошибок.
Карантина опять нет, но есть два такие файла: bcqr00001.ini и bcqr00002.ini
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Закачал архив с этими файлами по ссылке "Прислать запрошенный карантин"
Файл сохранён как 111027_104244_quarantine_1_4ea935a490de4.zip
Размер файла 560
MD5 0d5f3b3589ef59cb21203b2732c6f800
[size="1"][color="#666686"][B][I]Добавлено через 1 час 37 минут[/I][/B][/color][/size]
Ну так что?
[size="1"][color="#666686"][B][I]Добавлено через 1 час 29 минут[/I][/B][/color][/size]
Ну что там?
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 52 минуты[/I][/B][/color][/size]
Ну так как?
В карантине пусто. По логам подозрительного не обнаружил.
DAEMON Tools переустановите.
Сейчас симптомы есть какие-нибудь?
Пока симптомов нет. А что это было?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
И что это за строкипоявились в AVZ?
[size="1"][color="#666686"][B][I]Добавлено через 28 секунд[/I][/B][/color][/size]
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [AE16B16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [AE16AFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
И что это за строкипоявились в AVZ?
Мусор в реестре.
Кроме того вы удалили драйвер SPTD, без которого DAEMON Tools не будет (или будет некорректно) работать.
HASP Emulator.
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [AE16B16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [AE16AFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
А почему появились эти строки? Их раньше не было?