Показано с 1 по 15 из 15.

Avast: &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;q uot (заявка № 135446)

  1. #1
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    28
    Вес репутации
    27

    Avast: &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;q uot

    заразился по собственной глупости и доверию анти-вирусу...

    скачал не воспроизводимый фильм (через торрент), в "комплекте" был файл якобы установшик кодеков - я его запустил... он что-то установил (судя по меню и в правду были какие нибудь кодеки...)
    антивирус начал ругаться на C:\Windows\System32\services.exe, и ещё на кучу разных файлов - что они заражены троянскими программами т.п

    перед запуском обоих файлов я просканировал (фильм и кодек), avast ничего не обнаружил, да и после - тоже.
    Kaspersky Removal Tool - при сканировании в безопасном режиме вообще ничего не обнаружил...

    пользуюсь Windows 7 Home Edition



    без зараженного services.exe виндовс не запускается, 00000004.@ и 80000000.@ создаются каждый раз по новому, оба Desktop.ini - тоже..

    вот теперь не знаю что делать..
    Вложения Вложения
    Последний раз редактировалось Никита Соловьев; 21.03.2013 в 20:30. Причина: антиспам реагирует на этот код

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Romaner811, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    > Выполните скрипт в AVZ:

    Код:
    BEGIN
     ClearQuarantine;
      QuarantineFile('C:\Windows\System32\services.exe','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    END.
    > Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.


    Подготовьте отчет MBAM.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    28
    Вес репутации
    27
    скрипт выполнил, а файл загрузить кажется не получилось - говорит что это уже загружено.
    * файл архива весит 22 байт, надеюсь это нормально...

    сканирование MBAM в процессе.

    - - - Добавлено - - -

    хм.. MBAM похоше ничего относяшегося к проблеме не выявил :\

    P.S: у меня ещё есть Ubuntu (линукс) на этом же компюторе,
    через него я могу получить доступ к системным файлам виндовс
    (именно так я и узнал что он не грузится без зараженного системного файла),
    пологая что карантин не удался возможно по той самой причине что файл
    не поддаётся ни копированию ни удалению, могу попробовать скопировать
    его через линукс.
    сделать это?
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Удалите
    Код:
    D:\_temporary\PC811B\Sabrina 8D\Install\Facemoods.exe (PUP.Adware.InstallCore) -> Действие не было предпринято.

    C:\Windows\System32\services.exe на https://www.virustotal.com/ru/ проверьте, ссылку на результат покажите.

    Выполните скрипт отсюда


  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    28
    Вес репутации
    27
    Facemoods.exe - удалил

    virustotal - проверил
    Код:
    https://www.virustotal.com/ru/file/9bb8671774e6ce60cc5b9e3c166bd1ee577a3f1cbb5b4957de595a53d5b461d0/analysis/1363807633/
    * загружать на вирус-тотал пришлось копию, которую сделал через убунту - оригинал гугль хром не видет.
    если что он уменя находится: D:\services.exe.infected

    скрипт запустил, а за что отвечают эти ветви (BITS, wuauserv), или сервисы?

    - - - Добавлено - - -

    ** при перезагрузке обратно на виндовс комп сильно тормозил, это не впервые но началось недавно - изначально был только чёрный экран с курсором.
    я попробовал нажать WIN+R по началу он не открывался, я включил дисплечер задач, и заметил что висит процесс консоли (cmd.exe, conhost.exe) хотя в разделе апликаций пусто. я мог его включиь случайно нажав ввод (энтер) т.к
    последний раз я его и вызывал через WIN+R. хотя с другой стороны он выключился самостоятельно после чего и
    появилось наконецто окно Run.

    возможно ли что это связано с действиями вируса?
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код:
      tdsskiller.exe -silent -qmbr -qboot -qsus
    3. Запустите файл fix.bat;
    4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    5. Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.
    6. Запустите файл TDSSKiller.exe;
    7. Нажмите кнопку "Начать проверку";
    8. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    13. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

    + Сделайте лог Gmer

    - - - Добавлено - - -

    Цитата Сообщение от Romaner811 Посмотреть сообщение
    если что он уменя находится: D:\services.exe.infected
    тоже

    Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

    - - - Добавлено - - -

    сами пока ничего не удаляйте !

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    28
    Вес репутации
    27
    fix.bat - запустил

    C:\TDSSKiller_Quarantine:
    Файл сохранён как 130321_071432_TDSSKiller_Quarantine_514ab3587c7ec. zip
    Размер файла 107420
    MD5 2f3f9dcbec74ad4527d7307054f50301
    * по прямой с диска С заархивировать не получилось, я скопировал на Д и архивировал от-туда, надеюсь раздницы нет.

    TDSSKiller.exe - запустил

    лог Gmer - сделал

    D:\services.exe.infected:
    Файл сохранён как 130321_084633_services.exe.infected_514ac8e9b5a08. zip
    Размер файла 162642
    MD5 e8b6dd85abfebc5dbd05b0d40b882872
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    запустите сканирование TDSSKiller-ом снова, при обнаружение угрозы Virus.Win64.ZAccess.a нажмите лечить. Перезагрузитесь и ещё раз просканируйте, новый лог сканирования после перезагрузки прикрепите.

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    28
    Вес репутации
    27
    Лечение похоже удалось!
    Огромное спасибо!

    осталось только понять откуда появляется консоль при запуске виндовса... и почему он так медленно начал это делать...

    - - - Добавлено - - -

    я просканирую ещё раз с загрузкой..
    Вложения Вложения

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Цитата Сообщение от Romaner811 Посмотреть сообщение
    консоль при запуске виндовса...
    Консоль восстановления?

    Цитата Сообщение от Romaner811 Посмотреть сообщение
    и почему он так медленно начал это делать...
    Что медленно?


  17. Это понравилось:


  18. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от Romaner811 Посмотреть сообщение
    00000004.@ и 80000000.@ создаются каждый раз по новому, оба Desktop.ini - тоже..
    папку в которой они создавались может удалить вручную полностью, она создана руткитом.


    если под консолью подразумевалась командная строка, то сделайте новой набор логов по правилам.

  19. Это понравилось:


  20. #13
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    28
    Вес репутации
    27
    проверка на вирусы через avast boot-time scan, нашла только одно заражение: D:\services.exe.infected
    теперь сидит в карантине...

    медленно он запускался,
    да, консоль - коммандная строка. но после лечения системного services.exe,
    система гораздо быстрее загружается и коммандную строку я больше не видел.
    логи на всякий случай - прикрепил..

    * папок GAC_32/GAC_64 в C:\Windows\assembly нет, в Windows\Installer\{ac747...}\
    есть ещё одна папка - L вней есть 00000004.@ но аваст угрозы не обнаружил. удалять папку U в которой содержались зараженные или всю {ac747...} ?

    Огромное Спасибо за Помошь!
    Вложения Вложения

  21. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  22. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. \\services.exe.infected - Virus.Win64.ZAccess.a ( DrWEB: BackDoor.Maxplus.10777, BitDefender: Trojan.Patched.Sirefef.A, NOD32: Win64/Patched.A.Gen trojan, AVAST4: Win32:Sirefef-ZT [Trj] )


  • Уважаемый(ая) Romaner811, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 06.10.2010, 17:34
    2. Ответов: 3
      Последнее сообщение: 12.04.2010, 20:36
    3. Ответов: 10
      Последнее сообщение: 17.01.2010, 01:37
    4. Ответов: 9
      Последнее сообщение: 22.02.2009, 08:11
    5. Ответов: 9
      Последнее сообщение: 22.02.2009, 07:51

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00464 seconds with 17 queries