Warning
Warning
Интересное сообщение. Будем выполнять правила или закрываем тему?
Простите, не совсем понял, что тема уже открыта. Делаю логи.
Ситуация следующая: после посещения одного сайта (кому интересно проверить свою антивирусную защиту зайлите на auto-mobil.ru) у меня появились несколько вирусов. Некоторые я удалил, но два (как минимум) остались.
1. На набочем столе появилась надпись: "Warning! Spyware detected on your computer. Install an antivirus or spyware remover to clean you computer". Сделал проверку on-line сканером касперского, но от этого сообщения он меня не избавил. Прошу помочь.
2. При включении Интернета (я делаю это через VPN, провайдер Corbina) антивирус Avast 4.8 Home Edition каждый раз говорит, что обнаружен вирус и удаляет его. Интересно, что название файлов каждый раз разное, в частности, (из лога Avast'a) nt131332.exe, nt42832.exe, nt1e032.exe, располагаются они все во временной папке windows. Неприятно это все. online-проверка касперским показала, что заражен файл services.exe. Думаю принести такой же файл с незараженной машины и заменить.
Кроме того, может это тоже связано, в списке выполняющихся в моей системе процессов (который приведен во вложении в текстовом файле), сделаный утилитой Process Explorer от Sysinternals, прошу обратить внимание на копии файла svchost. У всех копий кроме одной присутствует описание выполняемых действий (т.е. служб, которые данная копия выполняет). А эта копия ни одну службу не выполняет. Может также вирус?
Спасибо за внимание.
P.S. Что-то не могу я загрузить лог программы Process Explorer, пишет ошибка загрузки. Если надо, могу еще попробовать.
moderated:::карантин загружаем по красной ссылке вверху темы.
Последний раз редактировалось Rene-gad; 24.06.2008 в 00:24.
выполните скрипт ...
пришлите крантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\WINDOWS\services.exe',''); DelBHO('{B87D203B-B43D-4af9-9E1B-9C20478CBB74}'); QuarantineFile('tardeme2.dll',''); QuarantineFile('G:\WINDOWS\system32\DRIVERS\beeper.sys',''); DeleteService('UMWdfSamSs'); QuarantineFile('G:\WINDOWS\TEMP\tmp2D.tmp srv',''); QuarantineFile('G:\WINDOWS\system32\basedkqw32.dll',''); DeleteFile('G:\WINDOWS\system32\basedkqw32.dll'); DeleteFile('G:\WINDOWS\TEMP\tmp2D.tmp srv'); DeleteFile('tardeme2.dll'); DeleteFile('G:\WINDOWS\services.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Спасибо за помощь. Ситуация улучшилась, но все проблемы не решились, плюс появилась новая.
Сообщение: "Warning! Spyware detected on your computer. Install an antivirus or spyware remover to clean you computer" так и осталось. Возможно дело в том, что я выполнял скрипт в безопасном режиме windows т.к. в обычном он не работает, windows пишет, что слишком мало виртуальной памяти, также выскакивает окно с надписью "failed to set data for 'DisplayName'" (я это уже проходил, поэтому и выполнял скрипт в safe mode). Также в программе avz появляется протокол действий, привожу его во вложении в текстовом файле.
Проблема с services.exe похоже нейтрализована, т.е. вылечена т.к. лишней копии svchost.exe (без служб) уже нет, при входе в Интернет антивирус не ругается на вирус.
Карантин чего прислать?
Появилась новая проблема. В памяти возник файл ntos.exe. Антивирус его заметил по эвристическому сканеру, грузится он вместе с процессом userinit.exe. Выключил загрузку ntos.exe при помощи программы autoruns от sysinternals, удалил этот файл из DOS'а. Но вот что интересно - какой-то процесс опять пробует его загружать, т.к. в программе autoruns появилась запись о том, что файл ntos.exe не найден уже после того, как я его удалил. Кто-то ему помогает?
moderated:::логи по правилам повторите. то , что Вы прикрерпили не нужно были ни делать ни прикреплять
Последний раз редактировалось Rene-gad; 23.06.2008 в 23:55.
Исправляюсь. Вот логи.
А что мне делать. Ваш скрипт у меня не отрабатывает до конца. С похожей ситуацией я уже сталкивался и выполнение скрипта в безопасном режиме помогло. Подскажите как сделать так, чтобы скрипт отработал до конца в обычном режиме windows?
moderated:::карантин загружаем по красной ссылке вверху темы.
Карантин выслал по красной ссылке. Но в программе avz есть файлы с двумя датами - 22.06.08 и 23.06.08. Выслал и то и то.
Пофиксите
Больше ничего плохого не нашел.Код:F2 - REG:system.ini: UserInit=g:\windows\system32\userinit.exe,,, O20 - Winlogon Notify: AutorunsDisabled - G:\WINDOWS\
Проблемы есть?
Да. Ведь то самое сообщение "Warning! Spyware detected on your computer. Install an antivirus or spyware remover to clean you computer" так и не исчезло. И убрать его нельзя т.к. некоторые ранее существующие опции настроек свойств экрана исчезли.
Выполните скрипт
Карантин по правилам закачайте. Можете скачать, обновить и прогнать Malwarebytes www.malwarebytes.org Может оно чего и найдет.Код:begin QuarantineFile('G:\WINDOWS\system32\Drivers\Tetri5.sys',''); QuarantineFile('G:\WINDOWS\system32\DRIVERS\tansgt.sys',''); QuarantineFile('G:\WINDOWS\system32\DRIVERS\litsgt.sys',''); end.
Большое спасибо. Программа Malwarebytes помогла. Нашла у меня 17 adware/malware и т.п. "грязи". После перезагрузки стали доступны все опции настроек свойств экрана и я эту обсуждаемую надпись благополучно убрал. Карантин от 24.06.08 прислал ночью (где-то в 0.30), после чего наши доблестные коммунальные службы вырубили в доме свет.
От меня что-нибудь требуется (прислать логи и т.п.).
Высылаю логи. Пока в поведении компьютера ничего не обычного. Обновлю firewall, а то уже старый.
Забыл лог hijackthis.
Последний раз редактировалось Rene-gad; 24.06.2008 в 23:41.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- g:\\windows\\services.exe - Trojan.Win32.Pakes.dfh (DrWEB: Trojan.Packed.573)
- g:\\windows\\system32\\basedkqw32.dll - Trojan.Win32.SubSys.eg (DrWEB: Trojan.Okuks.based)
Уважаемый(ая) spide, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.