-
Junior Member
- Вес репутации
- 60
Файл содержит вирус Packed.Win32.Tibs.fc лечение невозможно...
Здравствуйте!
У меня вознимкла проблема - мой антивирус KAV6.х очень сильно начал ругаться выдвая сообщение
"потенциально опасном ПО Hidden object" (модификация). Уже какой день мучаюсь с етим и ничего не могу сделать.
С каждым днем возникают все новые и более серьезные подозрения на то что система скоро рухнет.
В первый день - Стоило мне включить KAV, как через 5 мин выскакивет "сообщение" об обнаружении трояна:
19.12.2007 13:42:40 Процесс C:\WINDOWS\System32\svchost.exe (PID: 912): попытка выполнения подозрительных действий заблокирована.
19.12.2007 13:48:11 Вредоносный HTTP-объект <http://208.72.168.176/e-h_3110/index.php>: обнаружено: троянская программа
Trojan-Downloader.JS.Agent.zt.
19.12.2007 13:48:11 Вредоносный HTTP-объект <http://208.72.168.176/e-h_3110/index.php>: доступ заблокирован.
19.12.2007 13:48:45 Вредоносный HTTP-объект <http://78.109.22.242/ch/index.php>: обнаружено: троянская программа
Trojan-Downloader.JS.Agent.ahw.
19.12.2007 13:48:45 Вредоносный HTTP-объект <http://78.109.22.242/ch/index.php>: доступ заблокирован.
удалив вредителя. Дмне показалось все закончено.
На следующий день
затем ссылаясь на процессы -
22.12.2007 18:59:59 Процесс C:\Program Files\Outlook Express\msimn.exe
22.12.2007 19:38:55 Процесс C:\WINDOWS\system32\svchost.exe
и вылетело то самое (злободневное) сообщение о "потенциально опасном ПО Hidden object" (модификация).
После чего престла работать "Outlook Express" и другие программы, основные файлы программ которых KAV поместил в карантин -
(Возможно заражен: потенциально опасное ПО Hidden object C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe 48 КБ
23.12.2007 8:43:31
Возможно заражен: потенциально опасное ПО Hidden object C:\Program Files\Common Files\InstallShield\engine\6\Intel 32\IKernel.exe 600.1
КБ 23.12.2007 12:25:19
Возможно заражен: потенциально опасное ПО Hidden object C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe 136.1
КБ 23.12.2007 12:05:18
Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\system32\svchost.exe 14 КБ 22.12.2007 22:38:17
Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\system32\Ati2evxx.exe 404 КБ 22.12.2007 21:18:17
Возможно заражен: потенциально опасное ПО Hidden object C:\Program Files\Winamp\Winamp.exe 979.5 КБ 24.12.2007 12:34:41
Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\System32\alg.exe 43.5 КБ 22.12.2007 22:58:17
Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\system32\ctfmon.exe 15 КБ 22.12.2007 21:38:17
Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\Explorer.EXE 1008.5 КБ 22.12.2007 21:58:17
Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\system32\wscntfy.exe 13.5 КБ 22.12.2007 22:18:17)
При выходе в интернет в диспетчере задач выскакивет несколько процессов IEXPLORE.EXE одновременно, каждый из которых сьедает
немалое колличество оперативной памяти. Случалось что РС перезагружался, при работе в блокноте пробегали строки (test, уыее)...
На данный момент не работеет OutlookExpress, Проигрыватель, а работа и соединение с интернетом затягивается дольше обычного..
Что мне делать подскажите???....
Описал в более подробной и детальной форме, из наблюдений за поведенческими процессами PC...
Спасибо...
Последний раз редактировалось Qurt; 26.12.2007 в 15:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ...
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Rvy48', 'Start');
RebootWindows(true);
end.
после перезагрузки еще один ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\DOCUME~1\3414799\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\Rvy48.sys','');
DeleteFile('C:\WINDOWS\Rvy48.sys');
DeleteFile('C:\DOCUME~1\3414799\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_DeleteSvc('Rvy48');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи...
-
-
Junior Member
- Вес репутации
- 60
Спасибо.... За оказанную помощь... Все теперь в порядке, кажется, вроде ничего не выскакивает. отправил вам архив с карантином. Только он запаролен, ето нормально? Не со всей справкой ознакомился...
Да, не подскажете как востановить OutlookExpress (простяцкий вопрос?)
Последний раз редактировалось Qurt; 26.12.2007 в 15:52.
-
сколько раз можно повторять , cure.zip не цеплять к сообщению !!!
-
-
скачиваете ...
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Rvy48.sys... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
далее новые логи ...
-
-
Junior Member
- Вес репутации
- 60
Еще раз спасибо за оказанную помощь, очень вам благодарен... Только вот в процессах всеще присутствует IEXPLORE.EXE набирающий обороты оперативной памяти.....
-
мы не долечились ... выполните то что описано в посте 5
-
-
Junior Member
- Вес репутации
- 60
Все сделал как вы сказали ..... при включении KAV выдает сообщение об обнаружении
- потенциально опасное ПО Invader (loader) (модификация)
и
- загрузка интернет браузереа при помощи коммандной строки
Последний раз редактировалось Qurt; 26.12.2007 в 15:52.
-
у вас есть возможность загрузиться с диска или подключить винчестер к другому компьютеру ?
-
-
Junior Member
- Вес репутации
- 60
сейчаз такой возможности нет, подскажите ламеру хакнутому что делать ? Есть только установочный СД... :-) но этого наверняка нехватит для устранения(кстате а что за сложность?) неполадки...
спасибо
жду ваших указаний...
-
Junior Member
- Вес репутации
- 60
Файл содержит вирус Packed.Win32.Tibs.fc лечение невозможно...
Здраствуйте KAV обнаружил вирус Packed.Win32.Tibs.fc как от него избавится. Засел в одном из файлов -(C:\WINDOWS\system32\shift.exe.exe) лечение которого невозможно, предлогает либо удалить либо пропустить действие!
-
Junior Member
- Вес репутации
- 60
Подскажите как можно избавится от всей этой пакости! Больше сил нет терпеть этот поросячий визг у KAV. Как можно исправить положение, не совсем хотелось бы систему чистить много инф-ии которая очень важна... А в компьтерах не слишком силен, но если под четким руководством специалиста и полезных наставлениях смог бы справится.
спасибо
-
-
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Rvy48', 4);
StopService('Rvy48');
DeleteService('Rvy48');
BC_DeleteFile('C:\WINDOWS\Rvy48.sys');
BC_DeleteSvc('Rvy48');
BC_Activate;
RebootWindows(true);
end.
повторите логи ....
-
-
Junior Member
- Вес репутации
- 60
Создал свежие логи... прикрепляю их... только вот сложность в том что плохо разбираюсь во всем этом немогли бы вы оговаривать суть проблемы если вас не затруднит, что бы иметь представление о сложности ситуации и для личного опыта....
заранее спасибо
-
Junior Member
- Вес репутации
- 60
с предидущим сообщением неудалось отправить, несработало, прикрепляю к этому
Последний раз редактировалось Qurt; 22.12.2009 в 01:37.
-
http://virusinfo.info/showthread.php?t=15629 - это тема с логами с той же системы? А зачем тогда открыли новую? По возможности, выполните скрипт из сообщения предыдущей темы и отпишитесь там о результате.
-
-
shift.exe.exe - что в нем лечить ... рожден зловредом ...
пофиксите ....
Код:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
выполните скрипт ....
Код:
begin
QuarantineFile('C:\Program Files\Modem Spy\modemspy.dll','');
end.
пришлите карантин согласно приложения 3 правил ...
а теперь давайте повторим процедуру ...
Сообщение от
V_Bond
скачиваете ...
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Rvy48.sys... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
...
только обязательно перед этим выполнив два условия ....
1 отключить антивирус
2 оключиться от интернета
ну и новые логи ...
-
-
Junior Member
- Вес репутации
- 60
Приношу извинения, если запутал...
-
Junior Member
- Вес репутации
- 60
Выполнил.. посылаю логи... только вот незнаю что делать с shift.exe.exe, что вы имели в виду когда говорили рожден зловредом он не я вляется системным! просто при проверке моим KAV молчит, а при проверке на сервере KAV сообщает что он ифицирован Packed.Win32.Tibs.fc
(описания о нем нет ни какого) .. как это понимать???? вообщем вопрос таков является ли он системным или его можно смело удалять?
Последний раз редактировалось Qurt; 22.12.2009 в 01:37.