Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Файл содержит вирус Packed.Win32.Tibs.fc лечение невозможно... (заявка № 15688)

  1. #1
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60

    Thumbs up Файл содержит вирус Packed.Win32.Tibs.fc лечение невозможно...

    Здравствуйте!
    У меня вознимкла проблема - мой антивирус KAV6.х очень сильно начал ругаться выдвая сообщение
    "потенциально опасном ПО Hidden object" (модификация). Уже какой день мучаюсь с етим и ничего не могу сделать.
    С каждым днем возникают все новые и более серьезные подозрения на то что система скоро рухнет.
    В первый день - Стоило мне включить KAV, как через 5 мин выскакивет "сообщение" об обнаружении трояна:
    19.12.2007 13:42:40 Процесс C:\WINDOWS\System32\svchost.exe (PID: 912): попытка выполнения подозрительных действий заблокирована.
    19.12.2007 13:48:11 Вредоносный HTTP-объект <http://208.72.168.176/e-h_3110/index.php>: обнаружено: троянская программа
    Trojan-Downloader.JS.Agent.zt.
    19.12.2007 13:48:11 Вредоносный HTTP-объект <http://208.72.168.176/e-h_3110/index.php>: доступ заблокирован.
    19.12.2007 13:48:45 Вредоносный HTTP-объект <http://78.109.22.242/ch/index.php>: обнаружено: троянская программа
    Trojan-Downloader.JS.Agent.ahw.
    19.12.2007 13:48:45 Вредоносный HTTP-объект <http://78.109.22.242/ch/index.php>: доступ заблокирован.
    удалив вредителя. Дмне показалось все закончено.
    На следующий день
    затем ссылаясь на процессы -
    22.12.2007 18:59:59 Процесс C:\Program Files\Outlook Express\msimn.exe
    22.12.2007 19:38:55 Процесс C:\WINDOWS\system32\svchost.exe
    и вылетело то самое (злободневное) сообщение о "потенциально опасном ПО Hidden object" (модификация).
    После чего престла работать "Outlook Express" и другие программы, основные файлы программ которых KAV поместил в карантин -
    (Возможно заражен: потенциально опасное ПО Hidden object C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe 48 КБ
    23.12.2007 8:43:31
    Возможно заражен: потенциально опасное ПО Hidden object C:\Program Files\Common Files\InstallShield\engine\6\Intel 32\IKernel.exe 600.1
    КБ 23.12.2007 12:25:19
    Возможно заражен: потенциально опасное ПО Hidden object C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe 136.1
    КБ 23.12.2007 12:05:18
    Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\system32\svchost.exe 14 КБ 22.12.2007 22:38:17
    Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\system32\Ati2evxx.exe 404 КБ 22.12.2007 21:18:17
    Возможно заражен: потенциально опасное ПО Hidden object C:\Program Files\Winamp\Winamp.exe 979.5 КБ 24.12.2007 12:34:41
    Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\System32\alg.exe 43.5 КБ 22.12.2007 22:58:17
    Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\system32\ctfmon.exe 15 КБ 22.12.2007 21:38:17
    Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\Explorer.EXE 1008.5 КБ 22.12.2007 21:58:17
    Возможно заражен: потенциально опасное ПО Hidden object C:\WINDOWS\system32\wscntfy.exe 13.5 КБ 22.12.2007 22:18:17)
    При выходе в интернет в диспетчере задач выскакивет несколько процессов IEXPLORE.EXE одновременно, каждый из которых сьедает
    немалое колличество оперативной памяти. Случалось что РС перезагружался, при работе в блокноте пробегали строки (test, уыее)...
    На данный момент не работеет OutlookExpress, Проигрыватель, а работа и соединение с интернетом затягивается дольше обычного..
    Что мне делать подскажите???....
    Описал в более подробной и детальной форме, из наблюдений за поведенческими процессами PC...
    Спасибо...
    Последний раз редактировалось Qurt; 26.12.2007 в 15:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Rvy48', 'Start');
     RebootWindows(true); 
    end.
    после перезагрузки еще один ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\DOCUME~1\3414799\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\Rvy48.sys','');
     DeleteFile('C:\WINDOWS\Rvy48.sys');
     DeleteFile('C:\DOCUME~1\3414799\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
    BC_DeleteSvc('Rvy48');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60
    Спасибо.... За оказанную помощь... Все теперь в порядке, кажется, вроде ничего не выскакивает. отправил вам архив с карантином. Только он запаролен, ето нормально? Не со всей справкой ознакомился...
    Да, не подскажете как востановить OutlookExpress (простяцкий вопрос?)
    Последний раз редактировалось Qurt; 26.12.2007 в 15:52.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    сколько раз можно повторять , cure.zip не цеплять к сообщению !!!

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачиваете ...
    tools - wipe/copy file - browse и находим файл C:\WINDOWS\Rvy48.sys... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
    далее новые логи ...

  7. #6
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60
    Еще раз спасибо за оказанную помощь, очень вам благодарен... Только вот в процессах всеще присутствует IEXPLORE.EXE набирающий обороты оперативной памяти.....

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    мы не долечились ... выполните то что описано в посте 5

  9. #8
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60
    Все сделал как вы сказали ..... при включении KAV выдает сообщение об обнаружении
    - потенциально опасное ПО Invader (loader) (модификация)
    и
    - загрузка интернет браузереа при помощи коммандной строки
    Последний раз редактировалось Qurt; 26.12.2007 в 15:52.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    у вас есть возможность загрузиться с диска или подключить винчестер к другому компьютеру ?

  11. #10
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60
    сейчаз такой возможности нет, подскажите ламеру хакнутому что делать ? Есть только установочный СД... :-) но этого наверняка нехватит для устранения(кстате а что за сложность?) неполадки...
    спасибо
    жду ваших указаний...

  12. #11
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60

    Файл содержит вирус Packed.Win32.Tibs.fc лечение невозможно...

    Здраствуйте KAV обнаружил вирус Packed.Win32.Tibs.fc как от него избавится. Засел в одном из файлов -(C:\WINDOWS\system32\shift.exe.exe) лечение которого невозможно, предлогает либо удалить либо пропустить действие!

  13. #12
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60
    Подскажите как можно избавится от всей этой пакости! Больше сил нет терпеть этот поросячий визг у KAV. Как можно исправить положение, не совсем хотелось бы систему чистить много инф-ии которая очень важна... А в компьтерах не слишком силен, но если под четким руководством специалиста и полезных наставлениях смог бы справится.
    спасибо

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Пожалуйста, выполните правила раздела "Помогите!"

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Rvy48', 4);
     StopService('Rvy48');
     DeleteService('Rvy48');
     BC_DeleteFile('C:\WINDOWS\Rvy48.sys');
     BC_DeleteSvc('Rvy48');
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ....

  16. #15
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60
    Создал свежие логи... прикрепляю их... только вот сложность в том что плохо разбираюсь во всем этом немогли бы вы оговаривать суть проблемы если вас не затруднит, что бы иметь представление о сложности ситуации и для личного опыта....
    заранее спасибо

  17. #16
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60
    с предидущим сообщением неудалось отправить, несработало, прикрепляю к этому
    Последний раз редактировалось Qurt; 22.12.2009 в 01:37.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    http://virusinfo.info/showthread.php?t=15629 - это тема с логами с той же системы? А зачем тогда открыли новую? По возможности, выполните скрипт из сообщения предыдущей темы и отпишитесь там о результате.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    shift.exe.exe - что в нем лечить ... рожден зловредом ...
    пофиксите ....
    Код:
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    выполните скрипт ....
    Код:
    begin
     QuarantineFile('C:\Program Files\Modem Spy\modemspy.dll','');
    end.
    пришлите карантин согласно приложения 3 правил ...
    а теперь давайте повторим процедуру ...
    Цитата Сообщение от V_Bond Посмотреть сообщение
    скачиваете ...
    tools - wipe/copy file - browse и находим файл C:\WINDOWS\Rvy48.sys... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
    ...
    только обязательно перед этим выполнив два условия ....
    1 отключить антивирус
    2 оключиться от интернета

    ну и новые логи ...

  20. #19
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60
    Приношу извинения, если запутал...

  21. #20
    Junior Member Репутация
    Регистрация
    24.12.2007
    Адрес
    city
    Сообщений
    31
    Вес репутации
    60
    Выполнил.. посылаю логи... только вот незнаю что делать с shift.exe.exe, что вы имели в виду когда говорили рожден зловредом он не я вляется системным! просто при проверке моим KAV молчит, а при проверке на сервере KAV сообщает что он ифицирован Packed.Win32.Tibs.fc
    (описания о нем нет ни какого) .. как это понимать???? вообщем вопрос таков является ли он системным или его можно смело удалять?
    Последний раз редактировалось Qurt; 22.12.2009 в 01:37.

  • Уважаемый(ая) Qurt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. файл содержит сигнатуру
      От Attoll в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 18.12.2011, 23:54
    2. файл содержит сигнатуру
      От Attoll в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 17.12.2011, 19:13
    3. iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение
      От NickGolovko в разделе Вредоносные программы
      Ответов: 190
      Последнее сообщение: 18.02.2010, 15:52
    4. Ответов: 0
      Последнее сообщение: 08.12.2009, 22:19
    5. Подозрение на Packed.Win32.Tibs.ib
      От Kondor в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 11.04.2008, 21:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01054 seconds with 19 queries