-
Junior Member (OID)
- Вес репутации
- 40
AVG иногда обнаруживает Gaelicum.A в расшаренных папках
Здравствуйте. Такая вот беда.
Примерно сразу после установки винды 8, я расшарил кучу папок. У меня сеть с ноутом.
Через некоторое время, авг и встроенный антивирь начали просто спамить о зараженных экзешниках в расшаренных папках. Я просканил ноут и комп, нашел пару вирей, но не Gaelicum. В итоге, заражения прекратились - возможно от того, что все экзешники уже были заражены и помещены в карантин, и заражать было больше нечего ))
Ну потмо я просто отключил все расшаренные папки и успокоился. Прошло вот уже несколько месяцев, недавно снова расшарил папку с экзешником, и через день авг нашел там один экзешник зараженный Gaelicum.A, вылечил его, через несколько минут опять нашел этот же экзешник и вылечил...
Папки расшаривал на компе
Вчера я пробовал скачать AVG Gaelicum Removal, на компе после проверки нескольких файлов, она вылетает с unknown internal error
Тулза от касперского во время установки вылетает тоже... Вылетает всегда, независимо от перезагрузок с сообщением: Please try to reboot your computer. Error message is Client register error: -2147024894
Ноут удалось просканить AVG Gaelicum Removal, не нашлось ничего.
В логах тоже, вроде, ничего страшного... А откуда берутся вири не знаю
Кстати, AVZ зависал при проверки одной папки с книгами... заархивил и удалил, только после этого проверка прошла до конца.
Это логи с компа.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
Последний раз редактировалось TempKosmos2; 22.06.2013 в 13:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) TempKosmos2, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
отключите AVZPM и переделайте логи.
ЗЫ, если вирус появляется в расшаренных папках, значит заражены другие компьютеры в сети (с них и приходит зараза).
-
-
Junior Member (OID)
- Вес репутации
- 40
Я не исключаю вариант, что заражен комп и он записывает Gaelicum в расшаренные папки, чтоб другие пользователи сети заразились.
Выполнить до конца скрипт Сбора информации для раздела "Помогите" не выходит, avz виснет при проверке некоторых папок... Я их архивю и удаляю папку, перезапускаю avz и он после 20 минут работы виснет уже при проверке следующей папки %)
А на сканирование уходит уйма времени, чтоб каждый раз с начала начинать.
Продолжаю архивить папки одну за одной...
А тем временем, лог скрипта лечения/карантина и сбора информации для раздела "Помогите" на всех дисках:virusinfo_syscure.zip
Логи с ноута: http://virusinfo.info/showthread.php?t=140872
P. S. Обновлено:
Не, вообще невозможно сделать Сбор информации для раздела "Помогите", ибо avz виснет случайно... может проверить папку с файлами, а может и зависнуть...
Антивирь АВГ отключен при проверке
Последний раз редактировалось TempKosmos2; 22.06.2013 в 15:40.
-
Сообщение от
TempKosmos2
Логи с ноута
для ноута откройте отдельную тему. Один компьютер одна тема, логи с компа сейчас посмотрю.
-
-
Junior Member (OID)
- Вес репутации
- 40
Сообщение от
regist
для ноута откройте отдельную тему. Один компьютер одна тема, логи с компа сейчас посмотрю
По той ссылке новая тема.
-
- Сделайте лог полного сканирования МВАМ.
- Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.
-
-
Junior Member (OID)
- Вес репутации
- 40
Результат проверки: http://virusinfo.info/virusdetector/...36E2B106802358
Лог MBAM: MBAM-log-2013-06-22 (17-37-18).txt
Тему с ноутом тоже обновил.
Удалить драйвер расширенного мониторинга процессов не удается на нем... Я-то и так те логи сделал, думая что он удалился, оказывается нет.
Выбирал просто "удалить" его и перезагружался, затем пробовал "удалить и выгрузить", пишет что все сделано и просит перезагрузиться. Перезагружаюсь, но в этом же меню опять доступны пункты его удаления.
Пробовал так же, сперва выполнить скрипт удаления всех ключенй из реестра и драйверов, а затем удалить avzpm, однако результат тот же.
Последний раз редактировалось TempKosmos2; 22.06.2013 в 19:22.
-
Сейчас тоже обнаруживает вирус ?
-
-
Junior Member (OID)
- Вес репутации
- 40
Gaelicum.A нет, ибо я еще со вчера убрал все расшаренные папки.
Пользуясь тем, что написано в руководстве, на компе я не удалил ни одну угрозу в MBAM, поэтому, думаю все по старому...
На ноуте тоже много дряни нашлось
Последний раз редактировалось TempKosmos2; 22.06.2013 в 20:58.
-
зараза похоже шла с ноута.
Сообщение от
TempKosmos2
я не удалил ни одну угрозу в MBAM
удаление "хрени" которую нашёл MBAM на ваше усмотрение, если сомневаетесь в своих программах то лучше удалить. Также для проверки советую воспользоваться http://www.virustotal.com/
-
-
Junior Member (OID)
- Вес репутации
- 40
Я не уверен только в первой хрени, определенной как Troyan.FakeMS. Что вы можете сказать по ее поводу? Удалять или нет?
z.exe тоже левая хрень какая-то, я никогда не прогал ее... еще и в трех разных проектах. Стопудово троян, который ничем из предыдущих анализаторов не определился.
Все остальное мне не жалко.
По неизвестным причинам, мне не видна ссылка "Прислать запрошенный карантин" на ноуте.
Я и здесь и с ноута, заходил через один и тот же гугл аккаунт, но на ноуте я почему-то получил сперва другое имя пользователя, нежели здесь.
После перезагрузки ноута, если я логинюсь с него, я автоматически получаю такое же имя как тут, и даже не могу отвечать в той теме.
Стоит ли загружать карантин и лог от ноута здесь?
Последний раз редактировалось TempKosmos2; 22.06.2013 в 21:35.
-
Сообщение от
TempKosmos2
Я не уверен только в первой хрени, определенной как Troyan.FakeMS. Что вы можете сказать по ее поводу? Удалять или нет?
её как раз удалять нельзя.
Сообщение от
TempKosmos2
z.exe тоже левая хрень какая-то, я никогда не прогал ее... еще и в трех разных проектах.
не понял о каком файле речь.
Сообщение от
TempKosmos2
По неизвестным причинам, мне не видна ссылка "Прислать запрошенный карантин" на ноуте.
для ноута загружайте по этой ссылке http://virusinfo.info/upload_virus.php?tid=140872
---------
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Советы и рекомендации после лечения компьютера
-
-
Junior Member (OID)
- Вес репутации
- 40
Об этом файле:
D:\Kosmos documents\Сборище лаб и прочей хрени\С#\c#\c#\Page122-1\ConsoleApplication1\ConsoleApplication1\z.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\Kosmos documents\Сборище лаб и прочей хрени\С#\c#\Page122-1\ConsoleApplication1\ConsoleApplication1\z.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\Kosmos documents\Сборище лаб и прочей хрени\С#\Мои документы\Page122-1\ConsoleApplication1\ConsoleApplication1\z.exe (Trojan.Downloader) -> Действие не было предпринято.
P.S. Премного благодарен за оказанную помощь. Сейчас ноут уже выключен, а карантин на нем. Завтра залью.
-
Сообщение от
TempKosmos2
Об этом файле:
Проверьте этот файл на virustotal
кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
-
-
Junior Member (OID)
- Вес репутации
- 40
В теме с ноутом, видимо, я уже никогда не смогу отвечать, так как имя пользователя bugwarpatcher мне больше не выдается на этот гуглоаккаунт.
Карантин с ноута залил по предоставленной вами ссылке. Лог TDSKiller чист, заливать его в тему от компа не стал.
На компе уязвимостей не нашлось, на ноуте одна - в msxml, установил обновление, все ок.
Файл z.exe декомпильнул сам, оказался обычной лабой по программированию, просто чужой... С сетью не работает, так что это ложное срабатывание MBAM.
Из virustotal только MBAM его и определяет как троян: https://www.virustotal.com/ru/file/a...is/1371964837/
Думаю что все вылечено. Премного благодарен.
Последний раз редактировалось TempKosmos2; 23.06.2013 в 10:15.
-
Junior Member (OID)
- Вес репутации
- 40
Возможно, проблема не решена...
Вчера снова расшарил папку, сегодня авг начал в ней обнаруживать кучи троянов, с именами аналогичными на название папки.
Типа если папка d:\forupload\test_dir
То авг обнаруживал в ней d:\forupload\test_dir\test_dir.exe
Ноут был отключен!!!
В общем, обнаружил так авг штук 7 вирей, я полез закрывать общий доступ к папке, а мне написано предупреждение, что сейчас к ней подключено 2 пользователя %)
Каким макаром-то?
Я тестил с товарищами, могут ли они зайти в мои расшаренные папки так: \\95.84.60.176
Никто не может, некоторые говорят, что вообще не пингуюсь.
ip динамический, так что мне не страшно его показывать.
Папку расшариваю с доступом для ВСЕ на чтение и запись, из-за того, что считал что никто не может зайти в нее, кроме моего ноута.
Такие вот дела:
"24.06.2013, 11:36:16";"Троянский конь Generic_r.TT, f:\Downloaded games\PS1 Games\Persona 2 Innocent Sin\2 Innocent Sin.exe";
"24.06.2013, 11:36:10";"Определен вирус Packed.AutoIt, f:\Downloaded games\PS1 Games\Persona 2 Innocent Sin\oxzbxx.exe";
"24.06.2013, 11:30:29";"Троянский конь Generic_r.TT, d:\ForUpload\file trasfering c#\SERVER\bin\Debug\Debug.exe";
"24.06.2013, 11:30:14";"Троянский конь Generic_r.TT, d:\ForUpload\file trasfering c#\trasfering c#.exe";
"24.06.2013, 11:30:10";"Троянский конь Generic_r.TT, d:\ForUpload\Event-driven sockets c++\sockets c++.exe";
"24.06.2013, 11:30:05";"Троянский конь Generic_r.TT, d:\ForUpload\Computer Science\Game Programming\Programming.exe";
"24.06.2013, 11:29:59";"Троянский конь Generic_r.TT, d:\ForUpload\Computer Science\Science.exe";
"24.06.2013, 11:29:54";"Троянский конь Generic_r.TT, d:\ForUpload\Calling JavaScript in a WebBrowser control from C#_files\JavaScript in a WebBrowser control from C#_files.exe";
"24.06.2013, 11:29:48";"Троянский конь Generic_r.TT, d:\ForUpload\BugWarLabs_latest_copy\include\includ e.exe";
"24.06.2013, 11:29:39";"Троянский конь Generic_r.TT, d:\ForUpload\BugWarLabs_latest_copy\files\files.ex e";
"24.06.2013, 11:29:33";"Троянский конь Generic_r.TT, d:\ForUpload\BugWarLabs_latest_copy\App_Data\App_D ata.exe";
"24.06.2013, 11:29:24";"Троянский конь Generic_r.TT, d:\ForUpload\bg2 exp lists\exp lists.exe";
"24.06.2013, 11:29:19";"Троянский конь Generic_r.TT, d:\ForUpload\BugWarLabs_latest_copy\BugWarLabs_lat est_copy.bat";
"24.06.2013, 11:29:09";"Троянский конь Generic_r.TT, d:\ForUpload\ForUpload.bat";
"24.06.2013, 10:05:05";"Определен вирус Packed.AutoIt, f:\Downloaded games\PS1 Games\Persona 2 Innocent Sin\paqibq.exe";
"24.06.2013, 10:04:58";"Определен вирус Packed.AutoIt, d:\ForUpload\paqibq.exe";
Последний раз редактировалось TempKosmos2; 24.06.2013 в 12:00.
-
это похоже вы уже троян chudo подхватили.
Обновление все установили ? На расшаренные папки рекомендую поставить пароль.
Сделайте полный образ автозапуска uVS
для ноута создайте новую тему.
-
-
Junior Member (OID)
- Вес репутации
- 40
Если вы имеете ввиду скан уязвимостей, то да. на компе их вообще не нашлось, а на ноуте только одна в msxml и я обновление поставил на него.
Обновления винды тоже везде включены.
Дамп автозапуска: AQUAELIE_2013-06-24_16-24-36.7z
Ноут, вроде не заражен. Он выключенным был
-
Код:
C:\PROGRAM FILES\AUTOIT3\AUTOIT3.EXE
наверно ваше ?
windows update включён ?
- Сделайте лог полного сканирования МВАМ.
-