Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Помогите! Вирус! (заявка № 21036)

  1. #1
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37

    Thumbs down Помогите! Вирус!

    Во время работы компьютера вставил флешку.
    Обнаружил 2 новых скрытых файла:
    x.com и fesa...(окончания и расширения второго файла не помню)
    Хотел удалить их, но при наведении курсора мыши на них
    все процессы стали завершаться (и антивирус avast).
    После перезагрузки вошёл из DOS.

    Подозрение на переименование или удаление файлов,
    на дисках кроме C: (может и в нём, но я не нашёл подозрений)

    Тогда я второй HDD отключил физически.

    В безопасном режиме не загрузился (ждал минут 5, но экран чёрный и диск крутится).

    Зашёл в обычном режиме.
    Новых процессов не обнаружил.

    На флешке (x.com и fesa...) не нашёл,
    но через некоторое время они появились.

    Установил Kaspersky. Вставил флешку.
    В Volkov Commander вижу 2 файла (x.com и fesa...) помимо других.

    Касперский вирусов не нашёл на флешке
    при установленных максимальных настройках обычной и pro-защиты.

    Удалил файлы (x.com и fesa...) из Volkov Commander.

    Что дальше делать? На втором диске много нужного.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте логи по правилам с подключенной флэшкой.
    Второй HDD пока не подключайте.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37
    Panda 50% диска C: проверила.
    Dr.Web CureIt качаю.
    Не пойму почему Kaspersky проактивной защитой не обнаружил.

    "Сделайте логи по правилам с подключенной флэшкой."
    По подробнее или где прочитать как это сделать?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от User 25 Посмотреть сообщение
    "Сделайте логи по правилам с подключенной флэшкой."
    По подробнее или где прочитать как это сделать?
    Ссылка на правила в сообщении #2.
    В процессе выполнения флэшка должна быть подключена.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37
    Качаю...

    А указанные программы (AVZ, Dr/Web CureIt, HiJack)
    могут сканировать удалённые файлы?
    (Не хотелось бы вирус восстанавливать)

    Volkov их наверно не затёр?

    ===
    А лог долго будет создаваться (Диск 40 Гб)

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Восстанавливать ничего не надо, что удалили - то удалили.
    Для экономии времени перед сканированием очистите временные файлы IE через "Свойства обозревателя". И не забудьте отключить восстановление системы.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37
    Восстановление системы отключено для всех дисков. Проверил.

    Panda нашла и удалила PSKill.exe (PSKill.E) в C:\Windows\System32

    ===
    А по именам файлов нельзя вирус определить (x.com и fesa...)?

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    53
    Логи иначе это гадание.
    Microsoft Most Valuable Professional in Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37
    Сканирую...

    ===
    А PSKill.exe это вирус или он может быть в составе безобидной программы?

  12. #11
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37
    Вот файлы
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\x2f4fr.dll','');
    QuarantineFile('C:\DOCUME~1\INTERN~1\LOCALS~1\Temp\ASFWHide','');
    QuarantineFile('vistaui.exe','');
    QuarantineFile('c:\windows\system32\taskmgr.exe','');
    QuarantineFile('C:\Program Files\Ditto\focus.dll','');
    QuarantineFile('C:\WINDOWS\system32\LSP.dll','');
    QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
    QuarantineFile('C:\WINDOWS\Explorer.EXE','');
    BC_ImportQuarantineList;
    BC_QrSvc('ASFWHide');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21036 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37
    Файл карантина прислал.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
    "Пофиксить" в данном случае в смысле "Исправить помеченные проблемы" в AVZ?
    Если да, то сделал.

    ===
    Тут Panda говорит:
    "Рекомендуем вам переустановить коммуникационную библиотеку LSP,
    поскольку установка определённых утилит и сетевых адаптеров может
    помешать подключению к интернету.
    Хотите переустановить её сейчас?"
    Я отказываюсь. Я предполагаю это из-за несовместимости с файерволом.
    Сообщил на всякий случай.

    ===
    А возможно подключить второй жёсткий диск в режиме только чтения,
    чтобы даже в сиcтемных областях ничего не могло записываться?

    Добавлено через 10 часов 41 минуту

    Так файл карантина дошёл?
    Последний раз редактировалось User 25; 05.04.2008 в 14:44. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Файлы, которые попали в карантин, должно быть, чистые.
    x2f4fr.dll - в карантин не попал.

    Пофиксите в HijackThis:
    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O22 - SharedTaskScheduler: Hex port setting - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\x2f4fr.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\x2f4fr.dll');
    DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Вот это Вам знакомо?:
    D:\Documents\Projects\Delphi\TaskManager\TaskManag er.exe
    и вот это знакомо?
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2  
    O17 - HKLM\System\CS1\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2  
    O17 - HKLM\System\CS2\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2
    Какие-то проблемы остались?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37
    D:\Documents\Projects\Delphi\TaskManager\TaskManag er.exe
    - моя программа, написанная на Delphi (в трее сидит).

    O17 - HKLM\System\CCS\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2
    O17 - HKLM\System\CS1\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2
    O17 - HKLM\System\CS2\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2
    Не знаю что это. Может программа подсчёта трафика или файервол или с DSL связанное что-нибудь. Не знаю в общем.

    Что теперь делать со вторым диском на котором все данные?

    Я его физически отключил после выключения вирусом компьютера
    (после активации вируса через 10 секунд нажал на Reset).

    А резервная таблица размещения файлов (у меня везде FAT32)
    при загрузке из DOS перезаписывается?
    Дело в том, что после перезагрузки я в DOS из Volkov Commander осматривал диск.

    Программу для восстановления R-Studio 4.2 я скачал.

    Возможно ли подключить второй жёсткий диск в режиме только чтения,
    чтобы даже в сиcтемных областях ничего не могло записываться?

    ===
    Сейчас я установил лицензионный Kaspersky и обновил базы
    (до этого стоял avast! antivirus)
    Последний раз редактировалось User 25; 06.04.2008 в 04:48.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сейчас я установил лицензионный Kaspersky и обновил базы
    Очень хорошо. Теперь подключите ваш второй HDD (нормальным образом, а не только чтение) и выполните полную проверку компьютера.
    I am not young enough to know everything...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Вы боитесь, что данные на втором HDD будет повреждены? Больше ничего подозрительного я в Ваших логах не вижу.
    Выполните проверку целостности системных файлов: Пуск - Выполнить - напишите sfc /scannow - ОК.
    Понадобится установочный диск Windows.

    Скачайте новый CureIt!, поключите второй HDD и проверьте все жесткие диски CureIt'ом.
    P.S. Безопасный режим загружается?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  19. #18
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37
    Подключил второй диск.
    Касперский перестал работать. Переустановил Касперского.

    Безопасный режим заработал.
    Раньше при запуске был только чёрный экран с мерцающим текстовым DOS курсором при активности диска и не запускался.
    (У меня в безопасном режиме всё тормозит сильно,
    и монитор искажает экран ).

    sfc /scannow не заработал.
    Просит вставить диск. Вставил - говорит другой.
    InstallPath менял - не помогло.

    ВИРУС НА ВТОРОМ ДИСКЕ КАЖЕТСЯ НИЧЕГО НЕ УДАЛИЛ.
    Когда я из DOS в Volkov Commander смотрел,
    то возможно из-за большого размера диска или не поддержки русского языка
    видел не понятные символы в названиях файлов.

    Качаю CureIt. Буду перепроверять всё.

  20. #19
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37
    Вот файлы после подключения второго диска и проверки
    (После первой проверки были найдены 4 трояна. Я их удалил и повторил проверку)
    Вложения Вложения

  21. #20
    Junior Member Репутация
    Регистрация
    04.04.2008
    Адрес
    Россия
    Сообщений
    22
    Вес репутации
    37
    Сходил на тот компьютер, где этот вирус ко мне попал.
    Хотел его удалить там, а он не удаляется
    (после удаления создаёт копию на другом диске).

    Nod и Kaspersky его определяют, а другие нет.
    (Там другие как раз установлены).

    Заархивировал файлы вируса (3 штуки) в архив с паролем.
    Нужно его куда-нибудь отправить?

    ===
    Посмотрите, пожалуйста, файлы из прошлого сообщения,
    чтобы мне наверняка быть уверенным, что вирус удалили.

  • Уважаемый(ая) User 25, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 10.11.2010, 15:26
    2. Помогите вирус достал(если это вирус)
      От Evarius в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 27.04.2010, 17:35
    3. Помогите вирус..сильный вирус
      От sannyB в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.12.2009, 07:02
    4. Что за вирус - помогите
      От AlbertS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.03.2009, 02:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01477 seconds with 17 queries