Показано с 1 по 20 из 20.

Помогмите удалить заразу!!! (заявка № 144729)

  1. #1
    Junior Member Репутация
    Регистрация
    26.08.2013
    Сообщений
    10
    Вес репутации
    16

    Помогмите удалить заразу!!!

    Подскажите как удалить 3ри процесса из "Модулей пространства ядра" там висят некие
    dump_diskdump.sys
    dump_dumpfve.sys
    dump_nvstor.sys

    Под ними явно прячется какой то злобный руткит...
    В карантин они не забрасываются(файлов таких не существует) дампы делает но чем их просмотреть понятия не имею, в блокноте выдаёт какую то кракозябру...
    AVZ ничем не помог...
    С помощью Gmer удалось кое что увидеть, во общем зараза есть однозначно, как избавиться не знаю =(
    Помогите!
    Вложения Вложения
    Последний раз редактировалось IMV83; 31.08.2013 в 22:49.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) IMV83, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Оставьте в покое эти файлы они не зловредные. Лучше бы выполнили правила.

    Правила

    Как оформить заявку в разделе "Помогите!"
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member Репутация
    Регистрация
    26.08.2013
    Сообщений
    10
    Вес репутации
    16
    Вот сделал! То есть добавил вам эти логи

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Эти 8.26.56.26, 8.20.247.20 Американские DNS адреса сами прописывали в сетевом подключении? Логи собирались в диагностическом режиме?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. #6
    Junior Member Репутация
    Регистрация
    26.08.2013
    Сообщений
    10
    Вес репутации
    16
    Угу, это безопасные ДСН(Comodo Secure DNS)
    А диагностический режим это что?
    Последний раз редактировалось IMV83; 31.08.2013 в 14:52.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Диагностический запуск. Загрузка Windows с использованием только основных служб и драйверов. Этот режим позволяет исключить основные файлы Windows как источник проблем.

    http://windows.microsoft.com/ru-ru/w...-configuration
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Junior Member Репутация
    Регистрация
    26.08.2013
    Сообщений
    10
    Вес репутации
    16
    Это что msconfig что ли? Короче я так понял всё тоже самое проделать в диагностическом режиме? о_О

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Цитата Сообщение от IMV83 Посмотреть сообщение
    Это что msconfig что ли? Короче я так понял всё тоже самое проделать в диагностическом режиме? о_О
    1. Да.

    2. Нет переделывать не нужно. Просто логи маленькие получились я подумал что вы логи собирали в диагностическом режиме в котором включены только основные службы Windows.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #10
    Junior Member Репутация
    Регистрация
    26.08.2013
    Сообщений
    10
    Вес репутации
    16
    Я уже переделал Только старые вложения не могу удалить
    И походу новые ещё меньше весят чем эти
    Последний раз редактировалось IMV83; 31.08.2013 в 15:29.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  13. #12
    Junior Member Репутация
    Регистрация
    26.08.2013
    Сообщений
    10
    Вес репутации
    16
    Ничего не нашло!
    Обнаруженные процессы в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные модули в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные ключи в реестре: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные параметры в реестре: 0
    (Вредоносных программ не обнаружено)

    Объекты реестра обнаружены: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные папки: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные файлы: 0
    (Вредоносных программ не обнаружено)

    (конец)

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Значит вирусов у вас нет. Деинсталлируйте MBAM. Пуск--Панель управления--Установка и удаление программ Находим там Malwarebytes' Anti-Malware и нажимаем удалить.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  15. #14
    Junior Member Репутация
    Регистрация
    26.08.2013
    Сообщений
    10
    Вес репутации
    16
    Вирусов то может и уже нет вывел всё но руткит падла сидит где то

    Вот ещё такое нашло другой программой

    17:05:31.990 Disk 0 trace - called modules:
    17:05:32.021 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll storport.sys nvstor.sys
    17:05:32.021 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85709a80]
    17:05:32.021 3 CLASSPNP.SYS[88b680c3] -> nt!IofCallDriver -> [0x8526c6b0]
    17:05:32.037 5 ACPI.sys[88c0e49a] -> nt!IofCallDriver -> \Device\0000002b[0x85262b48]

    Как его удалить то?
    Последний раз редактировалось IMV83; 31.08.2013 в 16:27.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Угу системные файлы. Подозрительные файлы всегда можно проверить на https://www.virustotal.com/ru/.

    А с чего вы взяли что у вас руткит?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  17. #16
    Junior Member Репутация
    Регистрация
    26.08.2013
    Сообщений
    10
    Вес репутации
    16
    Вы издеваетесь? А вы ничего подозрительного в отчёте АВЗ не заметили?
    Плюс я же вам привёл список строк которые мне показались подозрительными в другой программе:

    17:05:31.990 Disk 0 trace - called modules:
    17:05:32.021 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll storport.sys nvstor.sys
    17:05:32.021 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85709a80]
    17:05:32.021 3 CLASSPNP.SYS[88b680c3] -> nt!IofCallDriver -> [0x8526c6b0]
    17:05:32.037 5 ACPI.sys[88c0e49a] -> nt!IofCallDriver -> \Device\0000002b[0x85262b48]

    а тут как раз есть перечисленными такие строки, как видите руткит, или его остатки... Раньше стояла 7ка 64битная...
    Ещё этот "[4] System.exe" сидит всегда включён, даже если загружался в диагностическом режиме и сеть не работала оно всё равно загружалось и писало что порты открыты...
    Вот потому и спрашивал как выгрузить из системы эти процессы
    dump_diskdump.sys
    dump_dumpfve.sys
    dump_nvstor.sys

    а вам понадобился зачем то целый отчёт... А зараза сто процентов под этими процессами скрывается...
    Последний раз редактировалось IMV83; 31.08.2013 в 16:59.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Нет у Вас никаких вирусов
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    26.08.2013
    Сообщений
    10
    Вес репутации
    16
    Точно нету! А эти красные записи в АВЗ это что так должно быть?

    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7534A16C->74B87596
    Перехватчик kernel32.dll:ReadConsoleInputExA (1103) нейтрализован
    Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7534A18B->74B87572
    Перехватчик kernel32.dll:ReadConsoleInputExW (1104) нейтрализован
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtCreateFile (267) перехвачена, метод ProcAddressHijack.GetProcAddress ->77385DA0->71B4A9F7
    Перехватчик ntdll.dll:NtCreateFile (267) нейтрализован
    Функция ntdll.dll:NtSetInformationFile (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->77384820->71B334CF
    Перехватчик ntdll.dll:NtSetInformationFile (546) нейтрализован
    Функция ntdll.dll:NtSetValueKey (576) перехвачена, метод ProcAddressHijack.GetProcAddress ->773845C8->71B4D10C
    Перехватчик ntdll.dll:NtSetValueKey (576) нейтрализован
    Функция ntdll.dllwCreateFile (159 перехвачена, метод ProcAddressHijack.GetProcAddress ->77385DA0->71B4A9F7
    Перехватчик ntdll.dllwCreateFile (159 нейтрализован
    Функция ntdll.dllwSetInformationFile (1875) перехвачена, метод ProcAddressHijack.GetProcAddress ->77384820->71B334CF
    Перехватчик ntdll.dllwSetInformationFile (1875) нейтрализован
    Функция ntdll.dllwSetValueKey (1905) перехвачена, метод ProcAddressHijack.GetProcAddress ->773845C8->71B4D10C
    Перехватчик ntdll.dllwSetValueKey (1905) нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->75427898->71B33537
    Перехватчик user32.dll:CallNextHookEx (1531) нейтрализован
    Функция user32.dll:SetWindowsHookExW (229 перехвачена, метод ProcAddressHijack.GetProcAddress ->7542F223->71B944D7
    Перехватчик user32.dll:SetWindowsHookExW (229 нейтрализован


    Недавно ещё в карантин закинуло что то, там "Подозрение на Trojan.Win32.Agent2.byu" и "Trojan-Downloader.Win32.AutoIt.q" и "Подозрение на Backdoor.Win32.Canvas.10"
    Куда вам это карантин закинуть?

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Умерьте паранойю

    Нет у Вас никаких вирусов
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    26.08.2013
    Сообщений
    10
    Вес репутации
    16
    Интересно у кого это паранойя у меня или у вашего АВЗ?
    Я же говорю что буквально недавно прогнал вашим АВЗ снова и уже выдало такое ПОВТОР:
    Недавно ещё в карантин закинуло что то, там "Подозрение на Trojan.Win32.Agent2.byu" и "Trojan-Downloader.Win32.AutoIt.q" и "Подозрение на Backdoor.Win32.Canvas.10"
    Куда вам это карантин закинуть?

    Такое ощущение что вы этих п*дарасов которые раскидывают эту дрянь защищаете
    Лучше скажите как этот System.exe из "Порты TCP/UDP" убрать а то оно не удаляется что то...

    Короче если от вас и так никакой помощи удалите нахрен эту тему и больше меня тут на этом сайте не будет...

  • Уважаемый(ая) IMV83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогоите удалить ggdrive32.exe,xdx.exe итд
      От Mekhele в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 16.03.2011, 04:13
    2. Не могу удалить заразу
      От ggR в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.10.2010, 17:37
    3. Не могу удалить заразу
      От ptil2006 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:42
    4. Не могу удалить,заразу!!!!!!
      От _sash_ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.02.2009, 20:18
    5. Не могу удалить заразу msqt32.dll
      От man67 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.04.2008, 10:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01052 seconds with 17 queries