При запуске системы антивирус НОД32 выдаёт такое красное сообщение:
\Device\HarddiskVolume2\Windows\System32\vdssvr.ex e
модифицированный Win32/KeyLogger.EliteKeylogger.AB приложение удален - изолирован.
Помогите если это возможно. Заранее спасибо!
При запуске системы антивирус НОД32 выдаёт такое красное сообщение:
\Device\HarddiskVolume2\Windows\System32\vdssvr.ex e
модифицированный Win32/KeyLogger.EliteKeylogger.AB приложение удален - изолирован.
Помогите если это возможно. Заранее спасибо!
Уважаемый(ая) Владимир Гринько, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Вот то что вы просили
http://virusinfo.info/showthread.php?t=120678 - такой лог приложите дополнительно.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Вот
Поищите на диске файлзапакуйте его в Rar или Zip архив с паролем virus пришлите его по красной ссылке вверху темы Прислать запрошенный карантинКод:C:\Windows\System32\vdssvr.exe
Выполните проверку системного диска, в командной строке (cmd) введите команду chkdsk c: /f /r На предложение ввыполнить проверку при следующем запуске, соглашаемся Y и перезагружаем компьютер.
В настройках своего антивируса, параметр "Защита в режиме реального времени" - Настройка параметров модуля ThreadSense - Настройка - (пункт) Методы - установите галочку на "Потенциально опасное ПО", перед установкой этой галочки добавьте в настройках антивируса, пункт "Исключения по путям", через кнопку "Добавить" файлы: C:\Windows\KMService.exe, папку D:\КОСТЯ\Install\Microsoft и т.п. "ценные" файлы, вернитесь в параметр "Защита в режиме реального времени" - Настройка параметров модуля ThreadSense - Настройка - пункт "Очистка" передвиньте ползунок из среднего положения в крайнее правое в сторону Тщательная очистка.
Ждем карантин запрошенного файла.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Через AVZ что-то не находит указанный Вами файл, выдаёт такое:
Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\vdssvr.exe)
Карантин с использованием прямого чтения - ошибка
- - - - -Добавлено - - - - -
Разобрался, выслал уже. Оказывается НОД помещал этот файл в карантин и поэтому его не находило.
отключите антивирусную программу
Выполните скрипт в AVZ:
Отпишитесь, что с проблемой после выполнения скрипта.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\vdssvr.exe',''); DeleteFile('C:\Windows\System32\vdssvr.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Сейчас попробую скрипт. Чекдиск так и не удалось выполнить, выдаёт следующее:
Cannot open volume for direct access.
Autochk cannot run due to an error caused by a recently installed software package.
Use the system restore feature from the control panel to restore the system to a point prior to the recent software package installation.
An unspecified error occurred (766f6c756d652e63 3f1)
- - - - -Добавлено - - - - -
Выполнил скрипт. После перезагрузки НОД выдал сообщение:
28.03.2015 10:36:24 Защита в режиме реального времени файл C:\Windows\System32\vdssvr.exe модифицированный Win32/KeyLogger.EliteKeylogger.AB приложение удален - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\wininit.exe.
Система предлагает выбрать ближайшую контрольную точку восстановления, т.к. имеются нарушения в работе системы, поэтому у Вас путь доопределялся изначально не верно. Должен быть C:\Windows\System32\vdssvr.exe. Откатите систему на последнюю удачную контрольную точку восстановления. После этого, выполните в Безопасном режиме скрипт из моего последнего поста. Отпишитесь после всех этих процедур, что с проблемой.\Device\HarddiskVolume2\Windows\System32\vdssvr.ex e
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Всё выполнил. Антивирус выдаёт:
28.03.2015 11:44:17 Защита в режиме реального времени файл C:\Windows\System32\vdssvr.exe модифицированный Win32/KeyLogger.EliteKeylogger.AB приложение удален - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\wininit.exe.
- - - - -Добавлено - - - - -
Всё выполнил. Антивирус выдаёт:
28.03.2015 11:44:17 Защита в режиме реального времени файл C:\Windows\System32\vdssvr.exe модифицированный Win32/KeyLogger.EliteKeylogger.AB приложение удален - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\wininit.exe.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Вот
Выполните скрипт в uVS Как выполнить скрипт в uVS
Не забудьте выполнить 6-й пункт.Код:;uVS v3.85 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c zoo %Sys32%\BATCOM.DAT.DLL zoo %Sys32%\WWACACHE.DLL deltmp restart
Что в данный момент с вирусом, антивирус его продолжает обнаруживать ?6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
до выполнения вышеуказанного скрипта, при загрузке, уже антивирус не обнаруживал вирус. хотя файл vdssvr.exe так и находится здесь C:\Windows\System32\
Пришлите vdssvr.exe еще раз, запаковав его в архив с паролем virus по ссылке вверху темы Прислать запрошенный карантин.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
В общем папка ZOO через Zip никак не хотела архивироваться, Через ВинРар получилось, но загрузить не удалось. Заархивировал папку ZOO через AVZ, не знаю правильно ли получилось.
Сбрасывает соединение. и при загрузке карантина с vdssvr.exe тоже сбрасывает. И еще при создании карантина антивирус выдал такое:
28.03.2015 21:45:15 Защита в режиме реального времени файл C:\Users\Admin\Desktop\avz4\avz4\Quarantine\2015-03-28\avz00001.dta модифицированный Win32/KeyLogger.EliteKeylogger.AB приложение удален - изолирован Admin-PC\Admin Событие произошло в новом файле, созданном следующим приложением: C:\Users\Admin\Desktop\avz4\avz4\avz.exe.
Уважаемый(ая) Владимир Гринько, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.