Вирус или кофликт?

Printable View

29.09.2008, 07:26
borber

Вирус или кофликт?

Добрый день.

При попытке открытия модуля программы Semonitor (программа для поисковой оптимизации) получаю сообщение: "File corrupted! Please run a virus-check, then reinstal the application."
После реинсталяции модули открываются и работают, но после их закрытия при следующем открытии все повторяется сначала.
Заранее спасибо.)
Один из логов загрузить не удалось:
[B]virusinfo_cure.zip[/B]:
Ваш файл занимает 2.50 Мб байт, что превышает предел на форуме в 1.91 Мб для этого типа файла.
Как быть?
29.09.2008, 11:09
PavelA

Карантин грузить по нашей просьбе и по ссылке вверху темы. Хорошо, что Вам этого не удалось.
29.09.2008, 11:10
Numb

Файл [b]virusinfo_cure.zip[/b] прикреплять к теме не надо - загрузите его по ссылке [url]http://virusinfo.info/upload_virus.php?tid=31084[/url] .
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\boris\locals~1\temp\svchost.exe');
QuarantineFile('c:\docume~1\boris\locals~1\temp\svchost.exe','');
DeleteFile('c:\docume~1\boris\locals~1\temp\svchost.exe');
BC_DeleteFile('c:\docume~1\boris\locals~1\temp\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code] После перезагрузки, закройте, по возможности, все приложения ( в том числе, те, что болтаются в системном трее), отключите антивирусный монитор и повторите логи (логов должно быть три - в первый раз потерялся файл [b]virusinfo_syscheck.zip[/b]
30.09.2008, 01:01
borber

Все сделал, вот логи:
30.09.2008, 12:53
Numb

Карантин AVZ от вас не пришел. Пожалуйста, загрузите его по ссылке [url]http://virusinfo.info/upload_virus.php?tid=31084[/url] , как написано в прил. 2 правил.

[size="1"][color="#666686"][B][I]Добавлено через 45 минут[/I][/B][/color][/size]

В дополнение, по результатам консультации с другими участниками проекта: по вашим логам очень похоже, что у вас файловый вирус. Рекомендации по лечению - здесь: [url]http://virusinfo.info/showthread.php?t=15927[/url] . Единственная поправка: действующая ссылка на Cureit! сейчас - [url]ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe[/url]
30.09.2008, 20:47
borber

Карантин закачал, пошел читать про файловый вирус...

[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]

Numb, насчет файлового вируса что-то может уточниться по карантину? Я постараюсь, конечно, сделать то, что написано, для его лечения, но "найти здоровый компьютер" и там скачать утилиту - это проблема...
30.09.2008, 21:17
V_Bond

[QUOTE=borber;290752]но "найти здоровый компьютер" и там скачать утилиту - это проблема...[/QUOTE]
это обязательное условие
30.09.2008, 23:05
Numb

Для статистики: в карантине: c:\docume~1\boris\locals~1\temp\svchost.exe - [b]Win32.Kros[/b] (по классификации Drweb)
01.10.2008, 01:00
borber

В карантине - означает, что никаких действий больше не требуется? Только вылечить файловый вирус?

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Среди процессов два каких-то svchost.exe работают...
01.10.2008, 12:19
PavelA

Пролечиться, затем прислать нам новые логи.

Просто надо проверить, м.б. там что-то еще останется из плохого.
02.10.2008, 10:58
borber

по адресу [url]ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe[/url] появляется окно, требующее имя пользователя и пароль...(
02.10.2008, 12:12
PavelA

У меня такого не происходит. Подожди, м.б. кто-нибудь на файлообменник скачает.
02.10.2008, 14:13
Numb

[quote=borber;291476]по адресу [URL]ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe[/URL] появляется окно, требующее имя пользователя и пароль...([/quote] Вы используете какой-нибудь менеджер закачек? Если да, включите в нем пассивный режим FTP. А лучше, отключите менеджер закачек и попробуйте закачать файл непосредственно с помощью браузера.
03.10.2008, 22:15
borber

Sdelal kak skazali, zagruzil Cureit s chistogo kompa na CD, prolechil v SafeMode. Byli zarazheny vse exe-faily. Utilita napisala, chto - vylecheny.
Posle zagruzki v obychnom rezhime ne zapuskautsya brauzery IE, FireFox i Opera, safary i Chrom zapuskaiutsya, no nichego ne zagruzhaiut - net soedineniya s Internetom (kogda IE ne zapustilsya i sprosil, otoslat' li soobshenie ob oshibke v Microsoft, ya napisal - da, a on ne smog.)) Mozhet, nado chto-to sdelat'. chtoby podkliuchit'sya k seti, no ya ne znaiu chto imenno. I chto delat' bez brauzerov? Ostal'nye programmy hudo-bedno mozhno pereustanovit' - esli budet Internet...
Chto delat'? Otvet'te please pobystree i glavnoe podrobno, chtoby ne peresprashivat' - pishu s chuzhogo kompiutera, k nemu dostup ogranichen...(
Zaranee spasibo.
03.10.2008, 22:19
V_Bond

пуск - выполнить sfc /scannow (понадобится диск с дистрибутивом) ие должен заработать .... остальные неработающие приложения придется переустанавливать
04.10.2008, 05:08
borber

Dobryi den'.
Poproboval vypolnit' etu komandu, poluchil sobshenie "Windows cannt fined ''sfc /scannow". Make sure you tiped the name correctly"
Zapuskaetsya brauzer Google Chrom, no ne mozhet otkryt' nikakuiu stranicu. Komp'uter voobshe ne mozhet soedinit'sya s set'1iu.
Chto sdelat', chtoby vernut' vozmozhnost' vyhoda v Internet?
Chto voobshe proizoshlo? Chto delaet etot virus i kak ya ego poluchil?
Seichas, pered tem kak ehat' siuda, chtoby svyazat'sya s vami, zapustil opyat' Cureit uzhe v obychnom rezhime (ne safe mode), tak ona snova nahodit vezde Win32.Kros, hotya kogda lechla v safe mode pisala, chto faily vylecheny.
Mozhet. ya chto-to ne tak delaiu?
U menya est' disk s Windows - mozhno ego pereustanovit' poverh togo, chto est', chtoby ne poteryat' dannye s kompa? Ili nado vse otformartirovat' snachala?
Proshu vas, davaite sovety bolee razvernuto, s variantami - chto delat', esli ne srabotaet (vot kak seichas poluchilos' s ''sfc /scannow" ), voidite v polozhenie - mne nado dovol'no daleko ehat', chtoby poluchit' dostup k chuzhomu kompu. Onshenie mozhet zatyanut'sya na nedeli.)
Seichas budu na svyazi eshe blizhaishii chas.
Zaranee spasibo.)
04.10.2008, 09:40
borber

После повторного лечения Cureit! (в обычном режиме, не в безопасном), во время которого были исцелены все найденные exe-файлы, неожиданно стали работать программы и появился выход в Интернет.
И я узнал, что такое счастье.:)
При старте системы появляется сообщение: "cli.exe - Application error. The application failed to initialize properly (0xc000007b). Click OK to terminate the application". Что за приложение - не знаю.
Выполнил логи, загрузил карантин.
04.10.2008, 12:21
V_Bond

ничего вы не вылечились ...
рекомендации [url]http://virusinfo.info/showthread.php?t=15927[/url] актуальны
04.10.2008, 21:05
borber

Так я все это проделал - пролечил и в безопасном и в обычном режиме! От чего я не вылечился? Единственно, чего не сделал - не отправил зараженных файлов в вирусную лабораторию Dr. Web - так я не знаю, какие файлы заражены и чем.
Что делать дальше?
V_Bond, честное слово, я Вас очень уважаю, но представьте - Вы заболели, врач дал Вам лекарство, потом Вас посмотрел и сказал коротко: "ничего вы не вылечились ..." - и ушел. Это информативно?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 7 минут[/I][/B][/color][/size]

Сейчас на сайте Dr.Web проверил онлайн один файл - сообщение, что инфицирован Win32.Kros опять... Почему же он писал во время лечения, что файлы исцелены? Или как возрождается этот вирус?
Так что ж делать?
04.10.2008, 21:36
V_Bond

c:\docume~1\boris\locals~1\temp\svchost.exe - запакуйте и отправте в лабораторию ДрВэб ...
Cureit скачайте на чистой машине и запишите на диск ....
а лучше [URL="http://beta.drweb.com/news/show/3189/ru"]Dr.Web LiveCD[/URL]
05.10.2008, 10:55
borber

Пару часов комп работал, потом связь с инетом пропала и все перестало запускаться... Файл c:\docume~1\boris\locals~1\temp\svchost.exe я успел запаковать и отослать в DrWeb. Результата пока нет (они ведь на е-мэйл сообщают? или как узнать, что уже можно снова скачивать утилиту?).
У них на сайте реклама антивируса, кот можно установить на уже зараженный компьютер - может, снести мой старый необновляемый McAfee и установить DrWeb? Поможет против Win32.Kros?
Кто-нибудь что-нибудь посоветует? Заранее спасибо.)
05.10.2008, 21:24
borber

Добрый день.
От DrWeb ответа пока не дождался, провел снова лечение Cureit!. В безопасном режиме были опять заражены все exe-файлы, исцелены. При лечении в обычном режиме неожиданно утилита вирусов не обнаружила. На данный момент программы запускаются, соединение с Интернетом есть. Сделал логи, закачал карантин, посмотрите, пожалуйста.
05.10.2008, 21:32
Гриша

[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/QUOTE]

AVZ скачайте заного и повторите логи...
06.10.2008, 00:05
borber

Вложений: 2

Скачал заново, логи повторил.
При перезагрузке компа каждый раз сначала выскакивает окошечко Windows installer,
потом сразу пытается распаковаться Sonic Activation Module, удаляю обоих кнопкой "Cancel", Sonic Activation Module пытается начать распаковываться несколько раз, только после нескольких нажатий "Cancel" успокаивается. Это повредились программы, или зловред пытается возродиться?
Соединение с сетью пропало опять, восстановилось после звонка в техподдержку провайдера...
06.10.2008, 00:22
V_Bond

пофиксите
[code]
O4 - Startup: Picture Motion Browser Media Check Tool.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
[/code]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33}');
QuarantineFile('C:\PROGRA~1\VMNTOO~2\VMNTOO~1.DLL','');
DeleteFile('C:\PROGRA~1\VMNTOO~2\VMNTOO~1.DLL');
DeleteFile('C:\Documents and Settings\Boris\Application Data\U3\temp\48bca3080\System\Apps\24142E37-DA3C-432a-82EA-59AD95B17904\Exec\1036\FixRes.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
06.10.2008, 00:41
borber

Пофиксил, скрипт выполнил, карантин загрузил. Логи займут некоторое время...
При перезагрузке после скрипта картина повторилась: Windows installer,
потом Sonic Activation Module несколько раз, удалял обоих кнопкой "Cancel".
06.10.2008, 02:24
borber

Вложений: 3

Сделал логи:
06.10.2008, 03:11
borber

Стер вопрос - ответ нашелся в ЧаВо.:)
06.10.2008, 20:16
borber

Посмотрите, пожалуйста, мои логи...
06.10.2008, 20:33
V_Bond

пуск выполнить msconfig вкладка автозагрузка
убрать все галки,[B] кроме[/B] строк содежащих
C:\Program Files\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\system32\ctfmon.exe
перезагрузиться
06.10.2008, 23:35
borber

Выполнил, что Вы сказали. При перезагрузке получил сообщение:

Сделать, как оно хочет - галку в "Normal Srartup - load all device drivers and services"? Или проигнорировать?
06.10.2008, 23:36
V_Bond

так и длжно быть ...
06.10.2008, 23:41
borber

Извините, не вполне понял - что так и должно быть? Сообщение это? то есть оставить все как сейчас стало?
И я правильно понимаю, что в логах чисто, убился зловред?
06.10.2008, 23:42
V_Bond

зловредного ничего нет , что с остальными проблемами ?
06.10.2008, 23:48
borber

После того, как убрал галки, о кот Вы сказали - лишние окошки не выскакивали при перезагрузке.:)
Программы стартуют, связь с инетом не пропадает.) Некоторые из приложений пришлось переустановить - не находились exe-файлы. Но сейчас вроде все нормально.
Есть застарелая проблема - explorer запускается ну очень долго каждый раз, минуты по 3-4, но, я так понимаю, она нерешаемая - ее уже однажды здесь пытались обсудить, ничего не вышло. Но это неприятно, но терпимо, привык.
Спасибо за помощь!:)
22.02.2009, 08:19
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]38[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\boris\\application data\\u3\\000018604571e4fc\\236c571e-47d6-4a73-ad5a-97f1e555e375\\exec\\openofficeforu3stop.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\docume~1\\boris\\locals~1\\temp\\svchost.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\comp.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\dmremote.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\expand.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\forcedos.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\magnify.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\msswchx.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\perfmon.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\recover.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\rwinsta.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\tlntsess.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\i386\\winchat.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\program files\\common files\\apple\\mobile device support\\bin\\distnoted.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\program files\\dell support\\gtcoach\\tranplug.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\program files\\java\\jre1.6.0_07\\bin\\ssvagent.exe - [B]Worm.Win32.Vasor.17400[/B] (DrWEB: Win32.Kros)[*] c:\\progra~1\\vmntoo~2\\vmntoolbar.dll - [B]not-a-virus:AdWare.Win32.MegaSearch.j[/B][*] c:\\progra~1\\vmntoo~2\\vmntoo~1.dll - [B]not-a-virus:AdWare.Win32.MegaSearch.j[/B][/LIST][/LIST]