Показано с 1 по 18 из 18.

Прошу совета! (заявка № 4879)

  1. #1
    Maarek
    Guest

    Прошу совета!

    Здраствуйте!
    Вот недавно скачал обновльнную версию авз.После полной проверки утилита обнаружила штук 20 файлов находящихся в папке Windows а большинство в system32,все они под подозрением или н троян или на rootkit,удалить я их немогу,поскольку ето глупо удалять файлы с систем32,но то что ети файлы заражены ето факт,поскольку касперский нерас выдавал мне опасность о заражении при етом личению файл не поддавался...
    Я постоянно замечаю тормоз системы,иногда нехочет заходить в инет никаким способом,програма KasperskiAnt-Hack очень часто выдаёт сообщения типу какойто толи сервер или файл(чесно непомню а записать чтото недодумался)просит запроса или ответа на даный ай-пи 222.45.34.3 к примеру,и даёт выбр разрешить или заблокировать,ну я блокирую но ето ничё не даёт,поскольку через день два касперский или авз опять находит файл заражённый вирусом который сидит в систем32.....
    Помогите пожалуйсто с советом,незнаю что делать!
    Последний раз редактировалось Maarek; 25.02.2006 в 15:54.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Сделайте логи, как описано в правилах.-
    http://virusinfo.info/showthread.php?t=1235

  4. #3
    Maarek
    Guest
    Сделал всё по правилам,извените за попешность.Сохранил оба лога от авз и джека в зип и тхт форматх.Жду ваших советов.

    з.ы.ещёрас сори
    Вложения Вложения
    Последний раз редактировалось Maarek; 25.02.2006 в 16:55.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Пришлите как описано в правилах:

    В AVZ -"параметры поиска" выставить галочки "блокировать работу Rootkit User-Mode" и "блокировать работу Rootkit Kernel-Mode",
    запустить сканирование. После окончания не выходя из AVZ поищите и пришлите как описано в правилах:

    C:\WINDOWS\System32\perfont.exe
    E:\Viewsonic.exe
    %system32%\DRIVERS\netpt.sys
    %System32%\Drivers\Klpf.sys
    %System32%\Drivers\klpid.sys

  6. #5
    Maarek
    Guest
    1. E:\Viewsonic.exe - непонимаю откуда ето,посколько Е драйв ето виртуальный диск,никогда не бывает чемто заполнен,темболее припроверках он 100% был пуст
    2. после проверки как вы сказали файла за адресом C:\WINDOWS\System32\perfont.exe
    небыло обнаружено возможно авз его удалила.
    3. В результате нашло ещё svchost.exe тоже под подозрением,но поскольку авп на него"материлось" значит ето тоже зловредный зараженный файл.Щас высылаю нужные файлы
    Последний раз редактировалось Maarek; 25.02.2006 в 17:56.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    из присланных:
    netpt.sys
    BitDefender Found Trojan.Downloader.Agent.DZ
    Dr.Web Found Trojan.NtRootKit.76
    F-Prot Antivirus Found W32/Rootkit.H
    Fortinet Found W32/Agent.ACV-rkit
    Kaspersky Anti-Virus Found not-a-virus:Monitor.Win32.NetMon.a
    NOD32 Found Win32/Monitor.Netmon.A application
    Norman Virus Control Found W32/Rootkit.AI

  8. #7
    Maarek
    Guest
    Цитата Сообщение от Shu_b
    из присланных:
    netpt.sys
    BitDefender Found Trojan.Downloader.Agent.DZ
    Dr.Web Found Trojan.NtRootKit.76
    F-Prot Antivirus Found W32/Rootkit.H
    Fortinet Found W32/Agent.ACV-rkit
    Kaspersky Anti-Virus Found not-a-virus:Monitor.Win32.NetMon.a
    NOD32 Found Win32/Monitor.Netmon.A application
    Norman Virus Control Found W32/Rootkit.AI
    Я просто ненаю какие файлы виндовсовские а какие "левые",но,ни один из файлов не лечится,хотя базы я стабильно обновляю,и стереть их немогу,опятьже потомучто незнаю какие юзает виндовс а какие нет.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    В AVZ -"параметры поиска" выставить галочки "блокировать работу Rootkit User-Mode" и "блокировать работу Rootkit Kernel-Mode", запустить сканирование. Далее, не выходя из AVZ - AVZ GUARD -> Включить AVZGUARD. Файл - отложенное удаление - удалить с:\windows\system32\drivers\netpt.sys Закрыть AVZ, не отключая Guard, перезагрузиться и сделать новые логи.

  10. #9
    Maarek
    Guest
    вот логи после проведённой операции
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Пришлите:
    C:\WINDOWS\System32\wbem\wmiprvi.dll

    P.S. "3. В результате нашло ещё svchost.exe тоже под подозрением,но поскольку авп на него"материлось" значит ето тоже зловредный зараженный файл." - этот файл удален АВП?

  12. #11
    Maarek
    Guest
    Цитата Сообщение от HATTIFNATTOR
    Пришлите:
    C:\WINDOWS\System32\wbem\wmiprvi.dll

    P.S. "3. В результате нашло ещё svchost.exe тоже под подозрением,но поскольку авп на него"материлось" значит ето тоже зловредный зараженный файл." - этот файл удален АВП?
    нет,свхост екзе лечению не потдаётся и удалён быть неможет,антивирусом,а вручную я босюь,потомучто незнаю или ето файл винды заражен или ето именно тело вируса,что с ним делать?
    C:\WINDOWS\System32\wbem\wmiprvi.dll - отправил
    Последний раз редактировалось Maarek; 26.02.2006 в 00:35.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Если было срабатывание или "подозрение" на файл svchost.exe - поищите и пришлите:

    sv?h?st.exe

  14. #13
    Maarek
    Guest
    1.Присылаю 2 файла,поскольку кроме svchost под подозрением находится ещё один
    2.Происходит странная вещ,после того как я отсылаю тот или иной файл который был под подозрением-он пропадает после того как я высылаю вам на тест-авз болше ничё не выдаёт,буквально 10 митнут назад подозрительных файлов было штук 20,многи повторялись,а только что был svchost и всё,непойму....

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Maarek
    кроме svchost под подозрением находится ещё один
    "под подозрением" у кого?

    пофиксите в HijackThis строки:
    O4 - Startup: restart_vs.lnk = E:\Viewsonic.exe
    O4 - User Startup: restart_vs.lnk = E:\Viewsonic.exe
    O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
    O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - (no file)
    O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - (no file)
    O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)
    O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)

    плюс уже несколько раз просили отправить файл
    C:\WINDOWS\System32\wbem\wmiprvi.dll
    но мы его так и не получили...

  16. #15
    Maarek
    Guest
    под подозрением у увз,было,после проделанных операций проблема,я надеюсь,исчезла..Насчёт файла-я высылал несколько рас на мыло,но оказалось что почта неработает(глюк что-ли),поетому отослал по даной мне ссылке(https://virusinfo.info/upload_virus.php),толькочто.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    This is a report processed by VirusTotal on 02/26/2006 at 00:02:46 (CET) after scanning the file "wmiprvi.dll" file.
    Antivirus Version Update Result
    AntiVir 6.33.1.50 02.25.2006 TR/Mutech.B
    Avast 4.6.695.0 02.23.2006 no virus found
    AVG 718 02.24.2006 Generic.QGR
    Avira 6.33.1.50 02.25.2006 TR/Mutech.B
    BitDefender 7.2 02.25.2006 no virus found
    CAT-QuickHeal 8.00 02.25.2006 no virus found
    ClamAV devel-20060126 02.24.2006 no virus found
    DrWeb 4.33 02.25.2006 Trojan.DownLoader.6979
    eTrust-InoculateIT 23.71.86 02.25.2006 Win32/Mutech!DLL!Trojan
    eTrust-Vet 12.4.2095 02.24.2006 Win32/Cuthem.C
    Ewido 3.5 02.25.2006 no virus found
    Fortinet 2.71.0.0 02.25.2006 Mutech.E!tr
    F-Prot 3.16c 02.25.2006 no virus found
    Ikarus 0.2.59.0 02.24.2006 no virus found
    Kaspersky 4.0.2.24 02.25.2006 no virus found
    McAfee 4705 02.24.2006 no virus found
    NOD32v2 1.1418 02.24.2006 Win32/TrojanDownloader.Agent.ACV
    Norman 5.70.10 02.24.2006 no virus found
    Panda 9.0.0.4 02.25.2006 no virus found
    Sophos 4.02.0 02.25.2006 Troj/Mutech-E
    Symantec 8.0 02.25.2006 no virus found
    TheHacker 5.9.4.102 02.24.2006 no virus found
    UNA 1.83 02.24.2006 no virus found
    VBA32 3.10.5 02.24.2006 Trojan.Win32.TrojanDownloader.Agent.ACV


    В AVZ - Файл -отложенное удаление, удалить C:\WINDOWS\System32\wbem\wmiprvi.dll, подтвердив удаление ссылок на него

  18. #17
    Maarek
    Guest
    Всё сделал,спасибо за хелп и понимание!

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Цитата Сообщение от Maarek
    нет,свхост екзе лечению не потдаётся и удалён быть неможет,антивирусом,а вручную я босюь,потомучто незнаю или ето файл винды заражен или ето именно тело вируса,что с ним делать?
    C:\WINDOWS\System32\wbem\wmiprvi.dll - отправил
    По поводу svchost.exe:
    - во-первых, он должен находиться в директории \Windows\system32\. Если файл не там - убивайте смело, это троян.
    - если файл там и он подменен - скорее всего его можно переименовать (удалить - вряд ли, а переименовать винда позволяет). Предварительно надо приготовить дистрибутив винды, на CD-ROM. После переименования система запросит дистрибутив и восстановит файл оттуда.

    ЗЫ: Правда, она еще может доставать зараженные копии из \Windows\system32\dllcache\, если этот файл там есть. Ну, или использовать восстановление системы - видимо, лучше его отключать в такие моменты.

  • Уважаемый(ая) Maarek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Прошу совета
      От duve в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.04.2010, 05:11
    2. прошу совета!
      От kimpson в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.11.2008, 19:19
    3. Прошу совета.
      От los-hooligans в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.03.2008, 19:06
    4. Прошу совета 2
      От Серж в разделе Microsoft Windows
      Ответов: 1
      Последнее сообщение: 01.03.2006, 17:24
    5. Прошу совета
      От Серж в разделе Microsoft Windows
      Ответов: 6
      Последнее сообщение: 27.02.2006, 17:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00161 seconds with 20 queries