Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

вирус? вирус! (заявка № 144636)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    19.10.2012
    Сообщений
    13
    Вес репутации
    19

    вирус? вирус!

    симптомы - создаешь папку (файл) на диске С, перезагрузка - файла (папки) нет
    то же самое для программ филез - коммон филез...

    восстановление системы и службу отключил, результата ноль

    Malwarebytes ничего не находит, антивирус Нод32 так же

    до этого вылетали окна при запуске браузера,
    в CCleaner - автозагрузка - запланированные задачи, обнаружилась строчка - точно не помню, но смысл в подмене файла host, после удаления браузеры заработали, сам файл host чистый, но самое интересное показал AVZ, логи прикладываю, надеюсь на помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) Андрей Николаев, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    465
    Здравствуйте !!!

    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) В антивирусе HIPS случайно не настраивали правила для пути ?

    + Сделайте логи RSIT

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    19.10.2012
    Сообщений
    13
    Вес репутации
    19
    скрипт выполнил, файлы пропадают

    virusinfo_syscheck.ziphijackthis.loginfo.txtlog.txt

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    465
    Сделайте полный образ автозапуска uVS

    + Какие файлы/папки создавались имена файлов/папок в каких директориях, 2-3 примера.

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    19.10.2012
    Сообщений
    13
    Вес репутации
    19
    создаю папку 123 в корне диска С
    копирую с другой машины boot.ini
    C:\Program Files\Common Files\parus shared\repgen.dll (как-то так)
    сбис - установка checkXML (проверка пенсионных отчетов), устанавливается в корень диска

    перезагрузка, запуск тоталкомандер, обновление содержимого диска - папки на глазах пропадают, без всякого запроса и т.п.
    восстановление системы отключено.

  8. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    465
    Очень странно, т.к. папка
    2013-09-02 11:52:48 ----D---- C:\rsit
    в корне диска С создалась без проблем и не пропала. Далее
    2013-08-29 12:07:40 ----D---- C:\Program Files\Common Files\Parus Shared
    папка по логу rsit на месте должна быть, + mbam у Вас недавно установлен и никуда не исчез, да и HijackThis, какое то выборочное исчезновение получается ....

    Жду лога uVS, запрошенного в пост №5

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    19.10.2012
    Сообщений
    13
    Вес репутации
    19
    образ

    - - - Добавлено - - -

    Parus Shared создавалась давно, недавно nod32 стал ругаться на repgen.dll - считает вирусом и удаляет, путь добавляем в исключения антивируса (по рекомендации "Парусников")
    так вот этот самый repgen.dll и пропадает при перезагрузке из папки (из-за него собственно и пришлось разбираться...)
    C:\rsit и другие папки создаются без проблем, но после перезагрузки пропадают
    mbam не исчез, сcleaner тоже обновлялся, остался новый...

    ASWBOOT.EXE - что это? смущает...
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,552
    Вес репутации
    835
    Цитата Сообщение от Андрей Николаев Посмотреть сообщение
    ASWBOOT.EXE - что это? смущает...
    От avast! остаток.
    Удалите MBAM и смотрите внимательно логи Eset Smart Security - вероятнее всего, он удаляет.
    WBR,
    Vadim

  11. Это понравилось:


  12. #10
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    465
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    внимательно логи Eset Smart Security - вероятнее всего, он удаляет
    + http://virusinfo.info/showthread.php...l=1#post869213 конфигурацию антивируса, запакуйте в архив с паролем произвольным и приложите к теме, пароль к конфигурации сообщите путем личного сообщения, возможно найду ошибку в настройке антивируса.

    - - - Добавлено - - -

    +
    C:\PROGRAM FILES\COMMON FILES\PARUS SHARED\KEYLOGGER.DLL
    добавьте в исключения антивируса.

  13. #11
    Junior Member (OID) Репутация
    Регистрация
    19.10.2012
    Сообщений
    13
    Вес репутации
    19
    в логах антивируса чисто
    C:\PROGRAM FILES\COMMON FILES\PARUS SHARED полностью в исключениях
    Вложения Вложения

  14. #12
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    465
    Удалите антивирус, воспользовавшись http://www.esetnod32.ru/support/know...MENT_ID=852896 утилитой и инструкцией. Множественные ошибки в работе, настройках антивируса, но следов удаления файлов в настройках антивируса нет. Кто использует Ammyy Admin ? После удаления антивируса сделайте повторный лог uVS.

  15. #13
    Junior Member (OID) Репутация
    Регистрация
    19.10.2012
    Сообщений
    13
    Вес репутации
    19
    антивирус удалил, проблема осталась
    Ammyy Admin периодически используется...
    создал нового пользователя, результат такой же.

    лог не лезет
    806.6 Кб of 976.6 Кб Used

  16. #14
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    465
    Загрузите на http://rghost.ru/ ссылку прикрепите к следующему сообщению.

  17. #15
    Junior Member (OID) Репутация
    Регистрация
    19.10.2012
    Сообщений
    13
    Вес репутации
    19

  18. #16
    Junior Member (OID) Репутация
    Регистрация
    19.10.2012
    Сообщений
    13
    Вес репутации
    19
    не цепляет почему-то к форуму, отправил личным сообщением

  19. #17
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    465
    Инструкции и утилиты для полного удаления остатков антивирусных продуктов aswclear.exe - через эту утилиту удалите остатки AVAST в логе по прежнему присутствует. Файлы по прежнему пропадают или становятся скрытыми системными ?

  20. #18
    Junior Member (OID) Репутация
    Регистрация
    19.10.2012
    Сообщений
    13
    Вес репутации
    19
    пропадают
    но папка C:\rsit с логами сканирования почему-то осталась

  21. #19
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    465
    А папка 123 в корне диска С ?

  22. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,552
    Вес репутации
    835
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    delref ASWBOOT.EXE
    exec MsiExec.exe /quiet /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
    exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
    exec "C:\Program Files\AskBarDis\unins000.exe"
    deltmp
    restart
    На вопросы об удалении программ рекомендую соглашаться.
    Компьютер перезагрузится.

    information

    Уведомление

    Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Скачайте и установите Java 6 Update 45 (версия совместима с банк-клиентами. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности


    WBR,
    Vadim

  23. Это понравилось:


  • Уважаемый(ая) Андрей Николаев, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 9
      Последнее сообщение: 24.07.2013, 15:52
    2. Ответов: 22
      Последнее сообщение: 19.05.2012, 14:40
    3. Ответов: 4
      Последнее сообщение: 10.11.2010, 15:26
    4. Ответов: 3
      Последнее сообщение: 05.10.2010, 17:01
    5. Ответов: 10
      Последнее сообщение: 30.09.2010, 18:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00788 seconds with 17 queries