Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Проблема (заявка № 34338)

  1. #1
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57

    Thumbs up Проблема

    Проблема состоит в следующем.
    1. Компьютер не запускается в безлопастном режиме. До переустановки ОС выдавал синее окно с надписью вирус. После переустановки ОС и попытки попасть в безлопастный режим перезагружает компьютер.
    2. Антивирусное ПО (Dr.Web) устанавливается без проблем, после перезагрузки компьютера и попытки стартовать сканером он (сканер) выгружается из системы. При проверке винта на другом компьютере вирусов не обнаружил, при сканировании с флешки бесплатной утилитой Dr.Web launch Вирусы не обнаружены. Nod32 стартует, работает проверяет, вырусов нету.
    3. Попытки открыть Панель управления =>Администрирование =>Управление компьютером окно открывается и сразу закрывается, тот же эффект при попытках выполнить cmd, просмотреть установленное оборудование.
    4. После скачки и распаковки (согласно правилам) запуск и попытки обновить AVZ сразу приводит к закрытию данного скрипта.
    5. Ещё интересный баг отсутствует как понятие "Свойства папки".
    З.Ы. К сожалению на компьютере ценная информация и в таком объёме, что перенести её на другой носитель практически не представляется возможным. Если есть возможность окажите помощь в борьбе с данным вирусом.
    З.З.Ы. В том что вирус сомнений нету через флешку уже заразился второй компьютер.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Сделайте логи этим AVZ http://depositfiles.com/en/files/6501498

  4. #3
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57
    Внимание !!! База поcледний раз обновлялась 09.07.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.30
    Сканирование запущено в 22.11.2008 13:51:11
    Загружена база: сигнатуры - 175549, нейропрофили - 2, микропрограммы лечения - 56, база от 09.07.2008 21:59
    Загружены микропрограммы эвристики: 370
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 71502
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
    Восстановление системы: Отключено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=07B180)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 80552180
    KiST = 80501030 (284)
    Проверено функций: 284, перехвачено: 0, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    Проверка IDT и SYSENTER завершена
    >>>> Обнаружена маскировка процесса 1948 c:\windows\system32\symdrvmn.exe
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    Проверка завершена
    2. Проверка памяти
    Количество найденных процессов: 19
    c:\documents and settings\Миша\Рабочий стол\evrika.pif - PE файл с нестандартным расширением;PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 40%)
    Анализатор - изучается процесс 1948 C:\WINDOWS\system32\symdrvmn.exe
    [ES]:Может работать с сетью
    [ES]:Опасно - подозрение на троянскую программы с FU-Based руткитом
    [ES]:Приложение не имеет видимых окон
    [ES]:Размещается в системной папке
    [ES]:Записан в автозапуск !!
    [ES]:С высокой степенью вероятности может бороться с антивирусами
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Количество загруженных модулей: 210
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    >>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
    >>> F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\Open]
    >>> F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\shell\open\command]
    >>> Обратите внимание - заблокирован редактор реестра
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Проверка завершена
    9. Мастер поиска и устранения проблем
    >> Блокировка редактора реестра
    >> Заблокированы настройки системы System Restore
    >> Проводник - заблокирован доступ к свойствам папки
    >> Разрешен автозапуск с HDD
    >> Разрешен автозапуск с сетевых дисков
    >> Разрешен автозапуск со сменных носителей
    Проверка завершена
    Просканировано файлов: 229, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 22.11.2008 13:51:28
    Сканирование длилось 00:00:17
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info
    Выполняется исследование системы
    Исследование системы завершено

    Вот что он выдал мне

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Еще раз прочитайте правила...

  6. #5
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57
    Если речь идёт об обновлениях то я не могу обновить программу т.к. во вкладке Файл не активно "Обновление баз"

  7. #6
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57
    Логи в архиве
    Вложения Вложения

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    А где остальные логи?

  9. #8
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57
    Вот ещё, что было в папке Log
    Вложения Вложения
    Последний раз редактировалось V_Bond; 22.11.2008 в 16:26. Причина: карантин в теме

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Passthru');
     DeleteService('BVDPSS');
     QuarantineFile('C:\WINDOWS\system32\bvdpss.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys','');
     TerminateProcessByName('c:\windows\system32\symdrvmn.exe');
     QuarantineFile('c:\windows\system32\symdrvmn.exe','');
     DeleteFile('c:\windows\system32\symdrvmn.exe');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys');
     DeleteFile('C:\WINDOWS\system32\bvdpss.exe');
    BC_ImportDeletedList;
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  11. #10
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57
    Архив закачан, логи прикрепленны. При выполнении скрипта который вы указалит, на каком то этапе компьютер завершил работу всех приложений, оставив на экране только заставку рабочего стола и не реагировал ни на что кроме кнопки на системнике, после пеерзагрузки слетели дрова Lan, и попытки их установить ник чему не приводят.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 23.11.2008 в 17:28. Причина: карантин в теме

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    отключите антивирус
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\symdrvmn.exe');
     DeleteService('Passthru');
     DeleteFile('c:\windows\system32\symdrvmn.exe');
     DeleteFile('F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe');
     DeleteFile('RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe');
     DeleteFile('C:\WINDOWS\system32\symdrvmn.exe');
     DeleteFile('F:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteRepair(11);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  13. #12
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57
    Выполненно
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\System Volume Information\_restore{B8D71469-C5C6-4A19-84EA-4650C71483DE}\RP1\A0000419.pif');
     DeleteFile('F:\autorun.inf');
    ClearHostsFile;
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    скачайте стандартный авз , обновите и сделайте полный комплект логов ...

  15. #14
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57
    Выполненно
    Вложения Вложения
    Последний раз редактировалось V_Bond; 23.11.2008 в 19:50. Причина: карантин в теме

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    базы не обновлены , лога хайджека нет .... переделывайте

  17. #16
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57
    Не возможно обновить базы "Ошибка в ходе автоматического обновления- Ошибка загрузки файла с описанием обновления avzupd.zip c http://www.z-oleg.com/secur/avz_up/ (21,00002EE2)

    Добавлено через 2 минуты

    Цитата Сообщение от Roslik Посмотреть сообщение
    Не возможно обновить базы "Ошибка в ходе автоматического обновления- Ошибка загрузки файла с описанием обновления avzupd.zip c http://www.z-oleg.com/secur/avz_up/ (21,00002EE2)
    UPD. разобрался обновляет
    Последний раз редактировалось Roslik; 23.11.2008 в 20:39. Причина: Добавлено

  18. #17
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57
    Выполненно
    Вложения Вложения

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearHostsFile;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\System Volume Information\_restore{B8D71469-C5C6-4A19-84EA-4650C71483DE}\RP1\A0000423.exe');
     DeleteFile('C:\System Volume Information\_restore{B8D71469-C5C6-4A19-84EA-4650C71483DE}\RP1\A0000511.exe');
     DeleteFile('F:\RECYCLER\S-1-6-22-2134031345-1609158761-021649731-3160\shellrun.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Жалобы есть?

  20. #19
    Junior Member Репутация
    Регистрация
    22.11.2008
    Адрес
    Киев
    Сообщений
    14
    Вес репутации
    57
    Спасибо жалоб нету только благодарность. И ещё вопрос для лечения вротого компьютера с той же проблемой воспользываться теми скриптами которые вы писали? или надо заново логи выкладывать????? Заранее благодарен за ответ и оказанную помощь.
    UPD. Как узнать что за вирус сидел и почему его вебер не нашол?

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    создавайте новую тему и выкладывайте логи ...

  • Уважаемый(ая) Roslik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. проблема, очень большая проблема
      От Osomos в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.06.2011, 12:23
    2. Проблема
      От GRomaN в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.08.2010, 11:57
    3. Проблема с траффиком + проблема с AVZ.
      От Seventeenth в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 30.06.2010, 16:21
    4. Проблема
      От KonstanZT в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.06.2009, 17:23
    5. Проблема :(
      От Евгений91 в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 15.03.2008, 11:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00520 seconds with 20 queries