Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Вирус не разрешает ничего.. [HEUR:Trojan.Win32.Generic ] (заявка № 147111)

  1. #1
    Junior Member Репутация
    Регистрация
    08.10.2013
    Сообщений
    16
    Вес репутации
    39

    Вирус не разрешает ничего.. [HEUR:Trojan.Win32.Generic ]

    Начну издалека. Комп товарища, поймал что-то где-то. В результате монипуляций с Касп. Кристал нашел кое что. Не взирая на предостережения удалил зараженные файлы, в результате комп перестал загружатся. После 2х часовых танцев с бубном удалось загрузить систему. Но дальше началось еще веселее. Каспрер был просрочен, активировать новую лицензию не получилось (сервер недоступен), удалил Кристал2, ставлю Кристал 3, на 98% виснет и все. На антивирусные сайты не пускает, соответственно никаких онлайн проверок, даже на Вирусинфо не дает зайти. Брендмауэр не включить!
    Сейчас на компе нет антивируса, так что проверил и AVPTooL и Dr.Web CureIt - ничего не найдено.
    Помогите плиз. Логи прилагаю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) BeTeP, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Здравствуйте !!!

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      TerminateProcessByName('c:\programdata\bitguard\2.6.1673.238\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\bitguard.exe');
      StopService('BitGuard');
      QuarantineFile('C:\Users\17D3~1\AppData\Local\Temp\3fe8d.exe','');
      QuarantineFile('C:\Users\Денис\AppData\Roaming\poclbm\t2.vbs','');
      QuarantineFile('c:\programdata\bitguard\2.6.1673.238\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\bitguard.exe','');
      DeleteFile('C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe','32');
      DeleteFile('C:\Users\17D3~1\AppData\Local\Temp\3fe8d.exe','32');
      DeleteFile('C:\Windows\system32\Tasks\6txktzmx7w.job','32');
      DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
      DeleteFile('C:\Users\17D3~1\AppData\Local\Temp\15432554aq','32');
      DeleteFile('C:\Windows\system32\Tasks\6txktzmx7w','32');
      DeleteFile('C:\Windows\system32\Tasks\At1','32');
      DeleteService('BitGuard');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(21);
     ExecuteWizard('SCU',2,2,true);
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  5. #4
    Junior Member Репутация
    Регистрация
    08.10.2013
    Сообщений
    16
    Вес репутации
    39
    Карантин отправил,вот новые данные

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      QuarantineFile('C:\Users\Денис\AppData\Roaming\poclbm\t2.vbs','');
      DeleteFile('C:\Users\Денис\AppData\Roaming\poclbm\t2.vbs','32');
      DeleteFile('C:\Users\17D3~1\AppData\Local\Temp\3fe8d.exe','32');
      DeleteFile('C:\Windows\system32\Tasks\6txktzmx7w.job','32');
      DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
      DeleteFile('C:\Users\17D3~1\AppData\Local\Temp\15432554aq','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки, пофиксите в HijackThis:
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=119357&tt=gc_&babsrc=HP_ss_gin2g&mntrId=30ACF46D0463B1D4
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    08.10.2013
    Сообщений
    16
    Вес репутации
    39
    Сделано, вот файлы.

  9. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    Сделайте полный образ автозапуска uVS

  10. Это понравилось:


  11. #8
    Junior Member Репутация
    Регистрация
    08.10.2013
    Сообщений
    16
    Вес репутации
    39
    Вот это задачку мне сосед подкинул... ,как говорил мой знакомый жестянщик "машину долбонуть -секундное дело, вот отремонтировать...", итак
    Было найдено 4 уязвимости 2 сумел исправить.
    2 остались :
    Поиск критических уязвимостей
    Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...5-fd9d7fc64097

    Установлен Adobe Reader версии 10.1.1. Опасно использовать версии до 10.1.6
    http://ardownload.adobe.com/pub/adob...RdrUpd1018.msp

    Обнаружено уязвимостей: 2
    по первой инсталлер пишет что версия офиса не соответствует, по второй что программа отсутствует ( но Ридера я чтото и в правду в списке программ не нашел).
    Но прогресс уже есть,комп стал пускать на сайты, хотя Антивирус не могу пока установить, или антивирус такой Касп.Кристал 3.0) или еще чтото мешает. Доходит почти до конца установка и сбивается.
    Прикладываю зип автозапуска
    Последний раз редактировалось BeTeP; 10.10.2013 в 18:01.

  12. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выполните скрипт в uVS Как выполнить скрипт в uVS
    Код:
    ;uVS v3.81.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    zoo %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\BABSOLUTION\SHARED\BABMAINT.EXE
    delall %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\BABSOLUTION\SHARED\BABMAINT.EXE
    zoo %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\POCLBM\POCLBM.EXE
    delall %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\POCLBM\POCLBM.EXE
    zoo %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\DSITE\UPDATEPROC\UPDATETASK.EXE
    delall %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\DSITE\UPDATEPROC\UPDATETASK.EXE
    zoo %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\FILE SCOUT\FILESCOUT.EXE
    delall %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\FILE SCOUT\FILESCOUT.EXE
    delref %SystemDrive%\USERS\17D3~1\APPDATA\LOCAL\TEMP\3FE8D.EXE
    delref %SystemDrive%\USERS\ЛЕОНИД\7942371.EXE
    delref HTTP://WWW.SEARCHGOL.COM/?AFFID=119357&TT=GC_&BABSRC=HP_SS_BTISDT7&MNTRID=30ACF46D0463B1D4
    delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\17D3~1\APPDATA\LOCAL\TEMP\15432554AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
    deltmp
    restart
    Сделайте повторный лог uVS.

  13. #10
    Junior Member Репутация
    Регистрация
    08.10.2013
    Сообщений
    16
    Вес репутации
    39
    Сделано, только не грузится файл , видимо места выделеного не осталось...
    а удалить загруженные файлы у меня не получается.
    Последний раз редактировалось BeTeP; 10.10.2013 в 23:03.

  14. #11
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488

  15. #12
    Junior Member Репутация
    Регистрация
    08.10.2013
    Сообщений
    16
    Вес репутации
    39
    Вот...

  16. #13
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Что с проблемой ?

  17. #14
    Junior Member Репутация
    Регистрация
    08.10.2013
    Сообщений
    16
    Вес репутации
    39
    Ну.... вчера снял диск, прогнал на антивурусе своего компа, нашелся еще 1 троян.Касперыч удалил его , но антивурис не могу поставить!Пробовал ставить разные версии КАВ,по разным причинам не могут установится. Отписался в тех.поддержку Каспера. Жду ответа.В целом вроде бы все нормально работает.
    Проверил Aнтималвором, найдено было 107 объектов. Удалил, антивирус все равно не ставится.
    Последний раз редактировалось BeTeP; 12.10.2013 в 15:20.

  18. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #16
    Junior Member Репутация
    Регистрация
    08.10.2013
    Сообщений
    16
    Вес репутации
    39
    Сделано
    Вложения Вложения

  20. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    c:\windows\System32\rpcss.dll замените файлом c:\windows\winsxs\x86_microsoft-windows-com-base-qfe-rpcss_31bf3856ad364e35_6.1.7601.17514_none_6bd245e 79c221747\rpcss.dll

    c:\programdata\BitGuard удалите

    Следы Avast, DrWeb удалите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #18
    Junior Member Репутация
    Регистрация
    08.10.2013
    Сообщений
    16
    Вес репутации
    39
    Или я чтото сделал не правильно, или ...дело не в этом.
    Аваст удалил ремувером ихним, ДВеб тоже и проверил файлы как сказано тут http://virusinfo.info/showthread.php?t=16646
    папку битгварда удалил
    ДЛЛку поменял, взял с другого компа (c:\windows\winsxs\x86_microsoft-windows-com-base-qfe-rpcss_31bf3856ad364e35_6.1.7601.17514_none_6bd245e 79c221747\rpcss.dll с этой директории просил права админа, а на включеной системе не было возможным поменять ввиду работающего процесса)
    Блин я в отчаянии...

  22. #19
    Junior Member Репутация
    Регистрация
    08.10.2013
    Сообщений
    16
    Вес репутации
    39
    варианты отсутствуют?

  23. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) BeTeP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01563 seconds with 19 queries