Ставил программу DropBox. Вроде, во время ее установки то-ли антивирус, то-ли служба виндоус сообщила об угрозе. Я нажал удалить.
Теперь каждую минуту выскакивает системная ошибка (заголовок окна ошибки: RunDLL; текст окна: "Возникла ошибка при запуске С:\windows\system32\crexv.ocx. Не найден указанный модуль" ).
Такое чувство что вирус удален, но остались какие-то его следы.
Можно с этим что-нибудь сделать? Заранее спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Любитель, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Posrednikov\appdata\roaming\taskhost.exe',''); QuarantineFile('C:\Windows\system32\e1fb0f93.exe',''); QuarantineFile('C:\Windows\system32\60fe561a.exe',''); DeleteFile('C:\Windows\system32\60fe561a.exe'); DeleteFile('C:\Windows\system32\e1fb0f93.exe'); DeleteFile('C:\Users\Posrednikov\appdata\roaming\taskhost.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После выполнения компьютер перезагрузился и AVIRA обнаружила вирус:
C:\Users\Posrednikov\AppData\Local\Temp\ni0cv31y.e xe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Zusy.11060.29
[УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем '55ecc735.qua'.
C:\Users\Posrednikov\AppData\Local\Temp\rha79xbd.e xe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Vundo.OD.1276
[УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем '4d2ae893.qua'.
После этого собрал логи.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполняется полное сканирование.
Сейчас авира нашла еще вирус:
Старт поиска в 'C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{4AFFC55C-0556-3FFE-427C-ED3226C800B4}-taskhost.exe'
C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{4AFFC55C-0556-3FFE-427C-ED3226C800B4}-taskhost.exe
[0] Тип архива: HIDDEN
--> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{4AFFC55C-0556-3FFE-427C-ED3226C800B4}-taskhost.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Zusy.11060.29
[УКАЗАНИЕ] Файл был перемещен в карантинную папку под именем '5631dceb.qua'.
Вчера я запускал полную проверку Авирой. А сегодня она нашла уже 3 вируса. Следует ли сейчас запустить полную проверку еще раз?
Любитель, В MBAM удалите только
Код:C:\Users\Posrednikov\AppData\Roaming\avdrn.dat (Malware.Trace) -> Действие не было предпринято.
Удалил. Проблему это не решило.
Любитель, Сделайте лог AVZ + лог RSIT
Логи сделал.
Любитель, Выполните скрипт в AVZ
Код:begin DeleteFile('C:\Users\Posrednikov\AppData\Local\Temp\tmp6CF4.tmp'); ExecuteSysClean; RebootWindows(true); end.
Выполнил.
К сожалению проблема осталась(
Любитель, Сделайте лог TDSSkiller
Запустил проверку. Было найдено 2 опасности. Отчет скопировал в текстовый файл. Прикрепил к сообщению.
Любитель, Все в норме..
У вас файл найден в C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{4AFFC55C-0556-3FFE-427C-ED3226C800B4}-taskhost.exe
Это карантин "Защитника Windows", его можно очистить через интерфейс программы. Введите в поиске меню пуск "защитник windows".
Последний раз редактировалось Никита Соловьев; 26.07.2012 в 14:52. Причина: зачем отключать WD?
Дeнис, открыл "защитник Windows". Перешел в раздел "Объекты в карантине". Там пусто.
Проблема все еще не решена(. Сообщение описанное в начале темы выскакивает иногда с интервалом в 10 секунд, иногда реже.
Любитель, Удалите папку C:\ProgramData\Microsoft\Windows Defender
Выполните скрипт в AVZ
Файл c:\avz00.log прикрепите к сообщениюКод:begin RegSearch('HKLM', '', 'crexv'); SaveLog('c:\avz00.log'); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Дeнис, удалить папку "C:\ProgramData\Microsoft\Windows Defender" не получается да же с правами администратора.
thyrex, скрипт выполнил. Файл avz00.log пустой. Прикладывать не стал.
Хм, тогда просто поищите упоминания в реестре crexv.ocx
Если что-то будет найдено, пожалуйста, сделайте экспорт тех веток реестра, где будет найдена эта запись
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) Любитель, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
