Показано с 1 по 13 из 13.

Outpost говорит что файлы NOD изменены (заявка № 15710)

  1. #1
    Junior Member Репутация
    Регистрация
    27.12.2007
    Сообщений
    7
    Вес репутации
    37

    Thumbs down Outpost говорит что файлы NOD изменены

    После загрузки Windows OutpostFirewall выдает сообщение (внутренняя защита включена), что была произведена попытка изменить его файлы программой .../explorer.exe. После загрузки центра управления NOD от Outpost поступает аналогичное сообщение о том, что .dll NOD-а изменены.
    После этого попытки обновить базы NOD через интернет неудачны. Система несколько раз перезагружалась, при этом загрузка производилась не с первого раза - происходило зависание. Позже было обнаружено наличие нового профиля пользователя под именем "ASP.NET" (возможно, появилось после установки продуктов от LizardTech, скачаных через инет). Его удаление (и профиля и продуктов) ни к чему не привело.
    Полная проверка системы с максимальными установками NOD, CureIt (в безопасном режиме ОС) не дала никаких результатов.
    Позже была разинсталена часть ПО, в т.ч. NOD (для уменьшения кол-ва перехватчиков) и повторно произведены проверки - результат нулевой. Результаты проверки, описанной в правилах, прикреплен.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    840
    1.В avz выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Explorer.EXE','');
     QuarantineFile('BiEMonNT.dll','');
     QuarantineFile('C:\WINDOWS\system32\fppmon3.dll','');
     QuarantineFile('C:\WINDOWS\system32\fppr332.dll','');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Выслать карантин согласно приложению 3 правил

  4. #3
    Junior Member Репутация
    Регистрация
    27.12.2007
    Сообщений
    7
    Вес репутации
    37
    Попробовал выполнить Ваш скрипт - на шаге включения AVZGuard выскочило окно с сообщением "Failed to set data for 'DisplayName'" с заголовком "Антивирусная утилита AVZ" и выполнение скрипта прерывается - карантин пуст. Попытка перезапустить скрипт привела к такому же результату, перезагрузка компьютера тоже не помогла.
    Я попробовал сразу после запуска AVZ вручную включить AVZGuard - он включился (если сначала запустить скрипт - попытка вручную включить защиту тоже выдает это окно). После этого скрипт выполняется, но в конце опять то же окно. Причем в карантине только два файла (dll виртуального принтера LizsardTech - его я не удалял). А в логе следующее-

    Выполнен карантин файла C:\WINDOWS\explorer.exe
    Ошибка карантина файла, попытка прямого чтения (BiEMonNT.dll)
    Карантин с использованием прямого чтения - ошибка

    Запрошенный файл выслал.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    нод и аутпост как инет перед исполнением скрипта отключать надо.

  6. #5
    Junior Member Репутация
    Регистрация
    27.12.2007
    Сообщений
    7
    Вес репутации
    37
    Цитата Сообщение от drongo Посмотреть сообщение
    нод и аутпост как инет перед исполнением скрипта отключать надо.
    Так NOD я вообще разинсталил перед обращением на форум, а Outpost отключил совсем (выключил автозагрузку и больше не включаю) - так как он (аутпост) уже несколько раз говорил, что файлы его и нода уже изменены - чтобы не сделать еще хуже.
    Инет тоже отключаю перед запуском AVZ. Только не знаю нужно ли перед провекой всегда открывать iExplore или только при первой проверке.

    Ооо.. Только что выскакивал синий экран с сообщением, что причина остановки ЦП - uji3ndi5.sys (естессно, я перегрузился после этого).

    Попробовал обновить базы AVZ из утилиты - ошибка обновления, выполнение стандартного скрипта обновления тоже привела к ошибке - вчера обновлялось вручную без проблем.
    Последний раз редактировалось Fyva; 27.12.2007 в 23:00.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    дела
    План такой :
    1.выполнить вот такой скрипт в avz
    Код:
    begin
    ExecuteStdScr(6);
    RebootWindows(true);
    end.
    2.Скачать последнию версию avz и попробовать снова скрипт : http://virusinfo.info/showpost.php?p=164706&postcount=2

  8. #7
    Junior Member Репутация
    Регистрация
    27.12.2007
    Сообщений
    7
    Вес репутации
    37
    Выполнил всё в точности.
    Пункт 1 - ОК - перезагрузка.
    Пункт 2 - ситуация повторилась, реакция прежняя (окно с сообщением и неполное выполнение скрипта).

    Попробовал обновляться из новой программы - тоже ошибка, в любом варианте.

    Я тут маленько пошалил - запустил скрипт от zerocorporated в SafeMode - он прошел до перезагрузки. В обычном режиме сформировал новый архив из файлов карантина - теперь они там все, причем по две штуки.

    А насчет вышеупомянутой uji3ndi5.sys я уже раскусил - это наверное переименованный драйвер защиты AVZ - прошелся поиском при включенной защите по папкам WINDOWS. Знач дела...

    Да, и еще. У меня такой вопрос - есть ли вероятность определить источник этой гадости у меня в системе - а то я бы снес все да и по новой установил бы винду, только боюсь наступить на те же грабли...

    Новый карантин выслал:
    Файл сохранён как 071227_154535_virus_47741cff6330d.zip
    Размер файла 174038
    MD5 d7fea4cc8c3ab2aef577dab1be07be3d

  9. #8
    Junior Member Репутация
    Регистрация
    27.12.2007
    Сообщений
    7
    Вес репутации
    37
    Про меня забыли? Или мой случай безнадежен? Скажите что нить, посоветуйте как мне дальше быть. Жду авторитетного мнения и совета!!! С уважением Fyva!!!
    Последний раз редактировалось Fyva; 28.12.2007 в 23:50.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Пришлите файл C:\WINDOWS\explorer.exe.
    2. Выполните проверку файловой системы на диске C:
    (открыть Свойства диска, вкладка Сервис - Выполнить проверку, поставить галку "автоматически исправлять..."; будет предложено проверить при перезагрузке - согласитесь и перезагрузите компьютер).
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    27.12.2007
    Сообщений
    7
    Вес репутации
    37
    1. Попробовал поместить C:\WINDOWS\explorer.exe в карантин через AVZ по списку - действие выполняется, но карантин пуст. Пробовал сначала блокировать работу руткитов, а затем поместить в карантин через AVZ - карантин тоже пуст. Поэтому создал zip ручками , как положено, (правда Winrar-ом ,но я думаю неважно) с паролем virus и выслал Вам.

    2. Компьютер новый, месяц назад (после покупки) проверял винт утилитой MHDD - проблем не было, но Вы правы, все могет быть.. Поетому сейчас запущу проверку С:\

    Добавлено через 30 минут

    Сделал полную проверку диска С: - ошибок не обнаружено. Поведение системы - такое же как до проверки (антивирус не обновляется, explorer.exe не добавляется в карантин, AVZ находит кучу перехватчиков).

    Да, только что заметил таукю вещь: пропала языковая панель - раньше я пользовался панелькой PuntoSwitcher, а системную скрывал, а теперь (Punto разинсталил давно) - даже когда стоит галка "отображать языковую панель" - ее нет (в смысле нет системной языковой панели).
    Последний раз редактировалось Fyva; 29.12.2007 в 19:44. Причина: Добавлено

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    что explorer.exe не добавляется это хорошо ... значит прошел по базе безопасных
    насчет языковой панели ... и не появится ... в автозагрузке отсутствует ctfmon.exe

  13. #12
    Junior Member Репутация
    Регистрация
    27.12.2007
    Сообщений
    7
    Вес репутации
    37
    Цитата Сообщение от V_Bond Посмотреть сообщение
    насчет языковой панели ... и не появится ... в автозагрузке отсутствует ctfmon.exe
    Опаньки, тормознул - сам же удалил когда из автозагрузки вычищал все что мона

    Добавлено через 59 секунд

    А что мне делать дальше c вирусами ??

    Добавлено через 3 часа 16 минут

    СПАСИБО всем за попытки помочь мне, но, видать, не судьба. Время сильно поджимает, нужно работать, а на компе очень много важной инфы. Скину всё на другой винт, а на этом перебью все с абсолютного "0". Больше не могу ждать с моря погоды.

    Всех с наступающим Новым Годом!!! Удачи в Вашем полезном деле!
    Последний раз редактировалось Fyva; 30.12.2007 в 00:10. Причина: Добавлено

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 13
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Fyva, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 08.12.2011, 07:51
    2. Ответов: 5
      Последнее сообщение: 03.10.2011, 13:20
    3. Изменены ярлыки програм. Программы не запускаются (заявка №104997)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 06.08.2011, 17:00
    4. Изменены компоненты KIS, Firefox, System32
      От santa13 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.04.2009, 07:57
    5. Ответов: 5
      Последнее сообщение: 22.02.2009, 03:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00587 seconds with 17 queries