Показано с 1 по 19 из 19.

Помогите избавиться от руктитов (заявка № 158322)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    14.04.2014
    Сообщений
    13
    Вес репутации
    14

    Помогите избавиться от руктитов

    Прописывается в мбр, оттуда в бмос, впоследствие если биос перешиваешь - эмулирует. если вставляешь винт в машину с зараженным биосом, подменяет ей мбр. Иногда обрезает диск таким образом, что уменьшается его размер, записывая ряд годных секторов в девектные, а там хранит свое тело. Под виндой и линуксом абсолютно не виден ативирям разве что GMER ругается. Долго мучал это разными прогами, одно из действий вируса - полностью собирать все действия пользователя, удаленный доступ, копирование всех изхменяемых и создаваемых файлов удаленно и прочая слежка, вкупе с полным админ. доступом к машине. explorerr винды эмулирует через любой браузер что установлен, все антивиры и файерволлы эмулирует их html настройками, создавая видимость тоого что они правильно действуют, на самом деле же не дает увидеть им свою деятельность. Все опасные программы которые как то его "цепляют" после перезагрузки оказываются или модифицированными или безвозвратно удаленными. все ручные действия с реестором и удалением некоторых частей вирусни - при следующей загрузке незаметно откатываются обратно.
    Все время работаю под виртуальной машиной, хотя в БИОСе отключены возможности ее активировать.
    Вложения Вложения
    Последний раз редактировалось olejah; 23.07.2014 в 16:57. Причина: правила форума пункт №10

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) Владимир Январский, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    14.04.2014
    Сообщений
    13
    Вес репутации
    14

    Помогите избавиться от вирусного тулбара.

    Помогите избавиться от вирусного тулбара.
    Вроде такой же как и здесь http://virusinfo.info/showthread.php?t=159509

    Авз почему-т о не создал файл virusinfo_syscheck.zip.

    Остальные два файла высылаю
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Здравствуйте опять бросите свою тему?

    Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Базы обновите и сделайте новые логи.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. Это понравилось:


  8. #6
    Junior Member (OID) Репутация
    Регистрация
    14.04.2014
    Сообщений
    13
    Вес репутации
    14
    А это ничего, что после обновления баз АВЗ сразу становится "неизвестным приложением",а не программой "лаборатории касперского"?

    - - - Добавлено - - -

    Прилагаю получившееся после обновления баз

    Повторюсь, вирусный тулбар вроде такого http://virusinfo.info/showthread.php?t=159509 В правом верхнем углу загнутый уголок с рекламой
    через ифрэймы слева и справа на большом мониторе пихает всякую рекламу во все браузеры и окна открывает.

    Тему не брошу, надо вылечиться срочно.
    Вложения Вложения
    Последний раз редактировалось Владимир Январский; 23.07.2014 в 14:59.

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    information

    Уведомление

    Внимание !!! База поcледний раз обновлялась 23.02.2014 17:04:34 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.
    Пожалуйста обновите базы и сделайте новые логи.



  10. Это понравилось:


  11. #8
    Junior Member (OID) Репутация
    Регистрация
    14.04.2014
    Сообщений
    13
    Вес репутации
    14

    Сейчас обновил базы вручную

    Я обновлял базы вообще-то. Сейчас обновил базы вручную с архива с сайта. Давайте посмотрим что получилось.
    Еще раз говорю - после запуска авз, у него меняется лицензия.

    Возможно что-то где-то перехватывает?
    Вложения Вложения

  12. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Логи из безопасного режима не нужны. Логи нужны из обычного режима. Базы AVZ так и не обновили.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  13. Это понравилось:


  14. #10
    Junior Member (OID) Репутация
    Регистрация
    14.04.2014
    Сообщений
    13
    Вес репутации
    14
    Вы можете помочь мне обновить базы - я же не дурак, я их обновлял и обновлением из непосредственно скачанного авх и файлом avzbase. Проблема в том что очевидно это контролируется каким-то перехватчиком. Как я уже говорил лицензионные данные из AVZ после первого же запуска исчезают. Вы можете залить куда-нибудь архив с обновленными базами переименовав его не в avz, а как-либо иначе. Некоторые браузеры вроде оперв и хрома и вовсе не скачивают avz c сайта http://www.z-oleg.com/secur/avz/download.php по окончанию скачки сообщая что это "вредоносная программа" и удаляя ее.
    Тулбар я вроде убрал удалив установленное перед этим ПО через RevoUninstaller, который подметает следы. Но, Браузеры косячат при попытке очистить кэщ или историю в них виндоус выпадает в синий экран. Страницы грузятся медленно. Аутпост почему-то при каждой загрузке создает новые правила на те же приложения. Вообще аутпост ведет себя крайне подозрительно, как будто что-то просто воспроизводит его интерфейс.


    Итак, новая попытка

    Скачал с другого компа(не факт что он не заражен, он в сети) AVZ и там обновился. Также прилагаю все требуемые файлы. Компьютер местами тормозит аж страшно. Иногда такое ощущение что кто-то заходит и делает с него какие-то действия, что потом видно по другим сервисам в сети. Бывает захожу на почту - а там прочитаны письма и т.п.
    Да, еще, я думаю что это руткит, так он не дает открывать привод в винде.
    АВЗ постоянно выдает что есть доступ анонимного пользователя, хотя по настройкам - все отключено. Еще бы этот Таск Шедулер отключить... Да и вообще много чудес твориться, такое ощущение что когда биос перешиваешь - он не перешивается по настоящему, а эмулируется, а настоящий где-то на винте и я сижу под виртуалкой.

    Помогите пожалуйста, срочно нужен нормальный компьютер перед отъездом.
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось Владимир Январский; 24.07.2014 в 04:32.

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Вот этот файл у себя поищите
    Код:
    CTASIO.DLL
    Пришлите его в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы


    - Сделайте лог полного сканирования МВАМ.

    Цитата Сообщение от Владимир Январский Посмотреть сообщение
    Как я уже говорил лицензионные данные из AVZ после первого же запуска исчезают.
    дело в том, что AVZ бесплатная программа и не требует никаких лицензионных данных.
    PS. базы сейчас свежие.

  16. #12
    Junior Member (OID) Репутация
    Регистрация
    14.04.2014
    Сообщений
    13
    Вес репутации
    14
    Цитата Сообщение от regist Посмотреть сообщение
    Вот этот файл у себя поищите
    Код:
    CTASIO.DLL
    Пришлите его в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы


    - Сделайте лог полного сканирования МВАМ.

    дело в том, что AVZ бесплатная программа и не требует никаких лицензионных данных.
    PS. базы сейчас свежие.
    При поиске CTASIO.DLL, или прямо в винде или в FAR компьютер вылетает в синий экран и создает дамп.
    Млжет поискать в защищенном режиме?

  17. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от Владимир Январский Посмотреть сообщение
    Млжет поискать в защищенном режиме?
    наверно имели ввиду в безопасном? попробуйте.
    и скорей всего этот файл будет в C:\Windows\System32\

  18. #14
    Junior Member (OID) Репутация
    Регистрация
    14.04.2014
    Сообщений
    13
    Вес репутации
    14

    лог МВАМ.

    лог МВАМ.

    Браузеры все как один часто вылетают в синий экран теперь, особенно когда лезешь в их настройки или начинаешь открывать разные антивирусные ресурсы

    СTASIO сейчас вышлю, если найду в безопасном. пока только видел ctasio64.dll
    Вложения Вложения
    • Тип файла: txt wamw.txt (2.4 Кб, 2 просмотров)

  19. #15

  20. Это понравилось:


  21. #16
    Junior Member (OID) Репутация
    Регистрация
    14.04.2014
    Сообщений
    13
    Вес репутации
    14
    Файла CTASIO.DLL у меня два, один лежит в Windows\syswwow64 - и они вместе лежат в разных местах папки windows\temp

    посылаю оба, правда без пароля, потому как установил винзип и не нашел как там пароль ставитть

    - - - Добавлено - - -

    послал правда без пароля, потому как установил винзип и не нашел как там пароль ставитть

    - - - Добавлено - - -

    Лог AdwCleaner
    Вложения Вложения
    Последний раз редактировалось Владимир Январский; 24.07.2014 в 16:33.

  22. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Вирусов у вас нет, остальное написанное в первом посте, извините, паранойя. Меньше мучайте систему всякими проверками и чистками и она лучше будет работать.
    Браузеры попробуйте переустановить.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  23. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  24. #19
    Junior Member (OID) Репутация
    Регистрация
    14.04.2014
    Сообщений
    13
    Вес репутации
    14
    "Поиск критических уязвимостей
    Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
    http://www.java.com/ru/download/manual.jsp

    Множественные уязвимости в Java JDK и JRE (64-разрядная версия). Деинсталлируйте старую версию и установите новую:
    http://www.java.com/ru/download/manual.jsp

    Обнаружено уязвимостей: 2"


    Спасибо, понятно

    - - - Добавлено - - -

    А можно каким-нибудь скриптом запретить достцуп анонимному пользователю и выключиьть таск шедулер?

  • Уважаемый(ая) Владимир Январский, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. НЕ МОГУ ИЗБАВИТЬСЯ ОТ ТРОЯНА RECYCLER
      От Pavel D в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.05.2012, 09:47
    2. ПОМОГИТЕ ИЗБАВИТЬСЯ ОТ ТРОЯН-МОЯЧЕК1
      От Zhenya8282 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.11.2011, 15:11
    3. Ответов: 1
      Последнее сообщение: 03.08.2011, 05:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00781 seconds with 17 queries