-
Junior Member
- Вес репутации
- 57
АВИРа постоянно находит троянов
Добрый день,
пришел с отпуска, и застал компьютер на работе во весьма плачевном состоянии - проверка АВИРОй после обновления нашла и убила порядка 70 троянов, но и после этого ругается 4-8 раз в день на обнаружение новых, даже в оффе. Тормоза и зависание (раз пару - до ресета). Посмотрите, пожалуйста - выкладываю логи согласно правилам.
Алексей.
Последний раз редактировалось Sibirian; 10.10.2009 в 11:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обнаружены еще следы DrWeb. Оставьте один антивирус
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msmacro64.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\LocalService.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
DeleteService('sysdrv32');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('securentm');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('amd64si');
DeleteService('acpi32');
TerminateProcessByName('c:\windows\mrmngr.exe');
QuarantineFile('c:\windows\mrmngr.exe','');
TerminateProcessByName('c:\windows\usb_mgr.exe');
QuarantineFile('c:\windows\usb_mgr.exe','');
QuarantineFile('C:\WINDOWS\mrmngr.exe','');
QuarantineFile('C:\WINDOWS\usb_mgr.exe','');
DeleteFile('C:\WINDOWS\usb_mgr.exe');
DeleteFile('C:\WINDOWS\mrmngr.exe');
DeleteFile('c:\windows\usb_mgr.exe');
DeleteFile('c:\windows\mrmngr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\Documents and Settings\LocalService\LocalService.exe');
DeleteFile('C:\WINDOWS\msmacro64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msmacro64.exe','');
QuarantineFile('C:\WINDOWS\mrmngr.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\LocalService.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
DeleteService('sysdrv32');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\usb_mgr.exe','');
QuarantineFile('c:\windows\mrmngr.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\Documents and Settings\LocalService\LocalService.exe');
DeleteFile('C:\WINDOWS\mrmngr.exe');
DeleteFile('C:\WINDOWS\msmacro64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи после перезагрузки.
Прислать карантин по красной ссылке по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Я Вас приветствую, Павел)
Хм... Выполнил первую пропись от Тирекса. Сорри - Вашу пропись увидел только что - выкладываю логи и карантин. Вашу пропись выполнять?
2 Тирекс - нельзя ли совет, как вылущить др ВЕБа? Я остатков его не вижу, не активен, в программах установленных к исполнению не замечен...
Алексей.
Последний раз редактировалось Sibirian; 10.10.2009 в 11:30.
-
Sibirian, по DrWeb можно почитать здесь http://virusinfo.info/showthread.php?t=16646, а лучше воспользоваться спецутилитой от разработчика
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\msddrv42.exe','');
DeleteFile('C:\WINDOWS\msddrv42.exe');
DeleteFile('mrmngr.exe');
DeleteFile('usb_mgr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
2 Тирекс - спс за ссылку)
Пропись выполняю, с ВЕБОМ сейчас поборюсь. А вот карантин... АВЗ загоняет туда почти весь Опен Оффис - карантин даже в раре 32 МБ. Просто исключить из карантина файлы относящиеся к нему?
Алексей.
-
Сообщение от
Sibirian
Просто исключить из карантина файлы относящиеся к нему?
Исключить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
После лечения хотелось-бы получить от Вас вот такой карантин:
http://virusinfo.info/showthread.php?t=3519
Туда как раз OpenOffice и войдет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
2 Тирекс - пропись выполнил, логи выкладываю, в карантине (прошу прощения, старый я уже удалил, а во вновь созданном - только 3 файла, 2 от Опен Оффиса и 1 от Монка).
2 Павел - конечно, по окончании лечения сделаю все по ссылке.
Алексей.
Последний раз редактировалось Sibirian; 10.10.2009 в 11:30.
-
В логах плохого нет.
Platform: Windows XP SP2 (WinNT 5.01.2600) -- надо исправить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
2 Павел - в смысле, ставить СП 3?
И пока набираю сообщение, АВИРа пищит на c:/windows/system32/ms07.exe определяя как TR/Agent.cqun.2 - это извне, или лезет из системы?
-
Да, именно его (SP3) и заплатки после него..
.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
2 Павел - если в логах все чисто - спс) Вы как всегда лучшие))
(Сорри за грубую лесть :-) ). Сбор по скрипту №4 сделал, вес получился около 26 Мб, скину вечером из дома по оптике - а то радио с лимитом на работе - напрягает. Можно совет по поводу троянов из моего сообщения выше? А то опять 2 раза АВИРа пропищала.
С уважением, Алексей.
-
Sibirian, попробуй сделать логи полиморфным AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Результаты работы полиморфного АВЗ... Но пищит после перезагрузки компьютера раз 5-6...
Алексей.
Последний раз редактировалось Sibirian; 10.10.2009 в 11:30.
-
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\mrmngr.exe');
DeleteFile('C:\WINDOWS\msddrv42.exe');
DeleteFile('C:\WINDOWS\usb_mgr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Теперь уже завтра... Выкладываю сбор по скрипту №4.
Алексей.
Добавлено через 10 минут
Файл сохранён как
090722_181131_virusinfo_files_RTY-359581A674E_4a671e13e7a40.zip
Размер файла 27037861
MD5 098b5e0748cf5bd165cc388d0fa19b30
Последний раз редактировалось Sibirian; 22.07.2009 в 18:16.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 57
Доброе утро)
Выполнил скрипт, выкладываю логи.
Алексей.
Последний раз редактировалось Sibirian; 10.10.2009 в 11:31.
-
еще одного углядел:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('WM System Decode Application');
DeleteFile('C:\WINDOWS\system\msdct.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторить станд скрипт №2 и прислать лог.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Скрипт №2 повторил, лог выкладываю.
Алексей
Последний раз редактировалось Sibirian; 10.10.2009 в 11:31.