Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Делайте новые логи + отчет утилиты GSI
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Укажите полный путь к файлам, на которые ругается антивирус
Вот это делали?
Сообщение от pig
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделала проверку еще раз
CureIt ругается на:
сделала проверку еще раз
CureIt ругается на:
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\.... (куча файлов из карантина)
C:\Documents and Settings\Ekaterina\Рабочий стол\X54S\X54S\Infected\2009-08-18\avz00001.dta
C:\Documents and Settings\LocalService\Temporary Internet Files\Content.IE5\H0S2LME6\Install[2].exe
C:\Program Files\BWMeter\Service.exe
C:\RECYCLER\S-1-5-21-2083287474-2900761999-1979824894-1006\Dc313\2009-08-17\avz00001.dta
C:\WINDOWS\system32\dllcache\ntfs.sys
(лечит, удаляет, перемещает)
После этого Нортон ругается на
C:\Documents and Settings\Ekaterina\Local Settings\Application Data\Microsoft\Internet Explorer
C:\Documents and Settings\Ekaterina\Local Settings\Application Data\Microsoft\cd burning
C:\Documents and Settings\Ekaterina\Local Settings\Application Data\Microsoft\credentials
C:\Documents and Settings\Ekaterina\Local Settings\Application Data\Microsoft\feeds
C:\Documents and Settings\Ekaterina\Local Settings\Application Data\Microsoft\feeds cache\....
C:\Documents and Settings\Ekaterina\Local Settings\Application Data\Microsoft\helpctr
C:\Documents and Settings\Ekaterina\Local Settings\Application Data\Microsoft\messenger\brands\en-us
C:\Documents and Settings\Ekaterina\Local Settings\Application Data\Microsoft\messenger\ekaterina.....@...\object store\...
C:\Documents and Settings\All Users\Application Data\TEMP
C:\Documents and Settings\Ekaterina\Local Settings\Temp
Последний раз редактировалось Rene-gad; 22.08.2009 в 13:05.
Очистите карантин Нортона
Очистите карантин АВЗC:\Documents and Settings\Ekaterina\Рабочий стол\X54S\X54S\Infected\2009-08-18\avz00001.dta
Очистите темп-папки, кэш проводников и корзину.C:\Documents and Settings\LocalService\Temporary Internet Files\Content.IE5\H0S2LME6\Install[2].exe
C:\RECYCLER\S-1-5-21-2083287474-2900761999-1979824894-1006\Dc313\2009-08-17\avz00001.dta
C:\Documents and Settings\All Users\Application Data\TEMP
C:\Documents and Settings\Ekaterina\Local Settings\Temp
эти 2 файла пришлите по правилам.C:\Program Files\BWMeter\Service.exe
C:\WINDOWS\system32\dllcache\ntfs.sys
на что конкретно ругается Нортон не очень понятно: в Вашем списке ни одного файла не видно.После этого Нортон ругается на
Очистила.
Файлы:
C:\Program Files\BWMeter\Service.exe - никакими способами в AVZ не нашелся (антивирус его удалил?)
C:\WINDOWS\system32\dllcache\ntfs.sys - нашелся, но при копировании в карантин - ничего не копируется, при просмотре карантина - пустое окошко.
А насчет файлов в Нортоне мне самой непонятно. При сканировании Нортон выдавал такой отчет:
Source: Manual Scanner
Risk category: Virus
Click for more information about this risk : Trojan Horse
Action taken: Delete failed
Description: Affected areas:
1 Files:
C:\WINDOWS\Temp\BNB9.tmp - Delete failed
(и еще несколько файлов tmp - из той же папки)
Source: Manual Scanner
Risk category: Virus
Click for more information about this risk : Packed.Generic.233
Action taken: Delete failed
Description: Affected areas:
83 Files:
C:\WINDOWS\Temp\BNB.tmp - Delete failed
C:\Documents and Settings\Ekaterina\Local Settings\Application Data\Microsoft\Internet Explorer - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\cd burning - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\credentials\s-1-5-21-2083287474-2900761999-1979824894-1006 - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\credentials - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\feeds - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\feeds cache\3zoiiy3q - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\feeds cache\f5uy776k - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\feeds cache\k8tdpshe - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\feeds cache\qf1ylo2o - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\feeds cache - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\helpctr - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\internet explorer - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\media player\Кэш файлов графики\localmls - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\media player\Кэш файлов графики - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\media player - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\brands\en-us - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\brands - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\objectstore\backgrounds - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\objectstore\customemoticons - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\objectstore\dynamicbackgrounds - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\objectstore\scenes - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\objectstore\signaturesounds - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\objectstore\usertile - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\objectstore\winks3 - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\objectstore - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\sharing folders\[email protected] - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\sharing folders - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\sharingmetadata\[email protected] - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\sharingmetadata\logs - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\sharingmetadata\working\database_32 ec_1282_ec12_4091 - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\sharingmetadata\working - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\sharingmetadata - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\socialnews - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected] - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\object store\backgrounds - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\object store\customemoticons - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\object store\dynamicbackgrounds - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\object store\scenes - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\object store\usertile - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\object store\winks3 - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\object store - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected]\social news - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger\[email protected] - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\messenger - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\portable devices - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\search enhancement pack\search box extension - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\search enhancement pack - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\[email protected]\real - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\[email protected]\shadow - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\[email protected] - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\[email protected]\real - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\[email protected] - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{55869538-bf9c-4498-ba98-61ba31a19d3b}\dbstore\backup\new - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{55869538-bf9c-4498-ba98-61ba31a19d3b}\dbstore\backup - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{55869538-bf9c-4498-ba98-61ba31a19d3b}\dbstore\logfiles - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{55869538-bf9c-4498-ba98-61ba31a19d3b}\dbstore - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{55869538-bf9c-4498-ba98-61ba31a19d3b} - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{76e8b884-04ed-42be-a42c-39cbe4c07cf7}\dbstore\backup\new - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{76e8b884-04ed-42be-a42c-39cbe4c07cf7}\dbstore\backup - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{76e8b884-04ed-42be-a42c-39cbe4c07cf7}\dbstore\logfiles - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{76e8b884-04ed-42be-a42c-39cbe4c07cf7}\dbstore - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{76e8b884-04ed-42be-a42c-39cbe4c07cf7} - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{a665ac15-3e17-47e6-8478-af4bc466a417}\dbstore\backup\new - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{a665ac15-3e17-47e6-8478-af4bc466a417}\dbstore\backup - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{a665ac15-3e17-47e6-8478-af4bc466a417}\dbstore\logfiles - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{a665ac15-3e17-47e6-8478-af4bc466a417}\dbstore - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{a665ac15-3e17-47e6-8478-af4bc466a417} - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{abe1e73f-cc64-44ef-b447-2b207c3dd122}\dbstore\backup\new - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{abe1e73f-cc64-44ef-b447-2b207c3dd122}\dbstore\backup - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{abe1e73f-cc64-44ef-b447-2b207c3dd122}\dbstore\logfiles - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{abe1e73f-cc64-44ef-b447-2b207c3dd122}\dbstore - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts\{abe1e73f-cc64-44ef-b447-2b207c3dd122} - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live contacts - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows live photo gallery - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows media\11.0 - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows media\9.0 - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows media - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows photo gallery\original images - No action taken
c:\documents and settings\ekaterina\local settings\application data\microsoft\windows photo gallery - No action taken
C:\Documents and Settings\Ekaterina\Local Settings\Application Data\Microsoft - No action taken
C:\Documents and Settings\All Users\Application Data\TEMP - No action taken
1 Additional areas:
Unknown - No action taken
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Скачайте последнюю версию АВЗ 4.32 по ссылке в правилах.
- Обновите базы АВЗ: (Файл/Обновление баз)
-Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask('%temp%','*.*',true); DeleteFileMask('%windir%\temp','*.*',true); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
После выполнения скрипта обнаружилсь новое обор. (пока не удаляла)
Очистила корзину, и остальное - с помощью AVZ и CCleaner.
Его нужно удал.
В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.Platform: Windows XP SP2 (WinNT 5.01.2600)
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8.MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Если после установки обновлений проблема не решится - пишите.
Всё установила, сделала проверку: CureIt теперь ни на что не ругается. А Нортон - ругается все так же и на то же. Может, это с Нортоном что-то не так?..
Да нет, Нортон не такой, чтобы ложняками сыпать.Может, это с Нортоном что-то не так?..
- Пролечитесь от файловых вирусов: http://virusinfo.info/showthread.php?t=15927
потом:
- Сделайте лог GMER
Полечила с помощью Live CD Vba32 Rescue. Нашелся 1 вирус и 2 файла, но папки VbaRescue (с отчетом и карантином) на компьютере почему-то не обнаружилось.
GMER лог:
Лог gmer без подозрительных записей.
Еще такой лог сделайте: Malwarebytes Anti-Malware
Вот, сделала лог, обнаружилось 14 объектов
(кстати, Нортон уже не ругается)
Вот это нужно исправлять
Если сами не отключали уведомления Центра обеспечения безопасности, то и это требует исправленияКод:Заражено значений реестра: HKEY_CURRENT_USER\Control Panel\don't load\scui.cpl (Hijack.SecurityCenter) -> No action taken. HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken. Заражено файлов: C:\WINDOWS\system32\delself.bat (Malware.Trace) -> No action taken. C:\Documents and Settings\Ekaterina\delself.bat (Malware.Trace) -> No action taken. C:\Documents and Settings\Ekaterina\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken. C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.
Сделать это можно следующим образом: выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение.Код:Заражено параметров реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
согласна, правила читала. Но в данном случае я выполняла вот это указание:Созданное вами сообщение .... было удалено:
Причина: логи нужно прикреплять к сообщениям, а не постить
прошу прощения, но для меня "открыть лог и скопировать в сообщение" это не то же самое, что "прикрепить лог".
p.s. прикрепить лог смогу только вечером...
Тот же лог не надо. Сделайте новый. А так, судя по логу, который вы выложили, все ок.
Сделала новый - нашлось вот это опять (см. лог)
(проверку делала с отключенным Нортоном). Удалила. При следующей проверке - опять то же самое. Еще раз удалила. Еще раз проверила, но уже со включенным Нортоном - на этот раз ничего не нашлось.
Такое содержимое лога являлось следствием отключенного антивируса.
Поэтому лог чист.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) Pippi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
