Показано с 1 по 16 из 16.

Стал подтормаживать комп, начал копаться и запустил скан АВЗ который меня напугал (заявка № 54481)

  1. #1
    Junior Member Репутация
    Регистрация
    09.03.2009
    Сообщений
    40
    Вес репутации
    33

    Thumbs up Стал подтормаживать комп, начал копаться и запустил скан АВЗ который меня напугал

    пожалуйста, скажите есть ли мусор в системе?

    p.s.: подскажите, а где можно взять (а ещё лучше постоянно брать) новые версии полиморфного авз и avz_monk ?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Пофиксте в HijackThis следующие строки:
    O2 - BHO: (no name) - AutorunsDisabled - (no file)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O9 - Extra button: (no name) - AutorunsDisabled - (no file)
    O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
    O21 - SSODL: UpdateCheck - {B58C916B-9483-4CCB-B86F-A6E02D949388} - (no file)
    После перезагрузки сделайте новый лог HijackThis и приложите сюда.

    Ссылки на полиморфный авз есть у некоторых хелперов в подписи. Новые сборки выходят не регулярно. Крайняя была 19.08.2009.

  4. #3
    Junior Member Репутация
    Регистрация
    09.03.2009
    Сообщений
    40
    Вес репутации
    33
    А кто собирает этот полиморфный AVZ?

    И меня больше пугал отчёт AVZ (посмотрите в логе: неизвестные длл-ки), чем Hijackthis...

    При повторном скане полиморфным AVZ вижу красные надписи в логе:
    69 строк вида (найдено в сецкии text):
    Код:
    Функция kernel32.dll:Function (123) перехвачена, метод APICodeHijack.JmpTo[10001B66]
    (вместо kernel32.dll ещё бывает ntdll.dll, user32.dll, advapi32.dll, ws2_32.dll, wininet.dll, urlmon.dll и т.п.)
    а также:
    Код:
    Маскировка процесса с PID=2860, имя = "7ljz6xp.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX2\7ljz6xp.exe"
    причем проверил путь - папки RarSFX2 там не существует (у меня включён показ скрытых и системных файлов)
    и
    Код:
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A5CF1F8 -> перехватчик не определен
    Последний раз редактировалось Drug0y; 11.09.2009 в 10:50.

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    Вы проводили сканирование CureIt?
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    NickGolovko, правильно мыслит. CureIt оставляет подобные следы.
    Drug0y, если бы вы сделали в соответствии с Правилами второй лог AVZ после перезагрузки, то там было бы чище.

  7. #6
    Junior Member Репутация
    Регистрация
    09.03.2009
    Сообщений
    40
    Вес репутации
    33
    NickGolovko, делал. Он ничего подозрительного не нашёл.
    AndreyKa, в Правилах не сказано о повторном логе, а вы мне сказали только про лог Hijackthis, который я собственно и выложил повторно.
    p.s.: прошу прощения за то что дважды ошибся в том, что выкладывал не тот архив.
    Последний раз редактировалось Drug0y; 11.09.2009 в 16:50. Причина: карантин в теме

  8. #7
    Junior Member Репутация
    Регистрация
    09.03.2009
    Сообщений
    40
    Вес репутации
    33
    кто и почему пометил тему как "излечено"?
    при очередном быстром скане АВЗ я увидел опять много всего нехорошего (см. вложение).

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    Загрузите по ссылке "Прислать запрошенный карантин" файл virusinfo_cure.zip.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  10. #9
    Junior Member Репутация
    Регистрация
    09.03.2009
    Сообщений
    40
    Вес репутации
    33
    сделал

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Drug0y Посмотреть сообщение
    кто и почему пометил тему как "излечено"?
    Я. Потому как то, что вы считаете нехорошим, по-моему нормально.
    В добавок к просьбе NickGolovko выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

  12. #11
    Junior Member Репутация
    Регистрация
    09.03.2009
    Сообщений
    40
    Вес репутации
    33
    AndreyKa, да вы только посмотрите содержимое аттачмента! там же вирусы видны невооруженным глазом! (apq6t66d.SYS и 7ljz6xp.exe, перехватчик spcg.sys)
    А процедуру - выполнил.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    spcg.sys - это эмулятор диска. Имя меняется при каждой перезагрузке
    apq6t66d.SYS - это тоже эмулятор atapi/ide. Имя меняется также
    7ljz6xp.exe - CureIt был запущен при создании лога?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Drug0y Посмотреть сообщение
    А процедуру - выполнил.
    Спасибо!
    Цитата Сообщение от CyberHelper
    Архив 090911_204254_virusinfo_files_PAVEL_4aaa7e0edf2e5. zip, загружен 11.09.2009 21:00:20, размер 33285679 байт
    Всего файлов: 26 (исполняемых 25), из них:
    зловреды или опасные объекты: 0
    подозрительные: 0
    занесены в базу безопасных AVZ: 1
    В очереди на добавление в базу безопасных:
    высокий приоритет: 19
    обычный приоритет: 6

  15. #14
    Junior Member Репутация
    Регистрация
    09.03.2009
    Сообщений
    40
    Вес репутации
    33
    thyrex, CureIt запущен не был, но вообще в том сеансе я его до этого запускал. С выключенным CureIt-ом только что сделал проверку - снова оно же.
    а можно поподробнее про эмуляцию? какая программа и зачем это творит? у меня только DaemonTools стоит из того что могло бы это сделать.
    AndreyKa, это вам спасибо за помощь.
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Всего файлов: 26 (исполняемых 25), из них:
    зловреды или опасные объекты: 0
    подозрительные: 0
    занесены в базу безопасных AVZ: 1
    А почему только 1 и какой 1?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Drug0y Посмотреть сообщение
    А почему только 1 и какой 1?
    В автокарантин файлы опознанные как безопасные попадать не должны.
    Но всё-таки могут попадать из-за того, что:
    1. Базы AVZ не были обновлены.
    2. CyberHelper уже добавил какой-то файл в базу безопасных, а в обновления AVZ он еще не попал.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Drug0y, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. стал подтормаживать комп при загрузке винды (заявка №38760)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 23.11.2010, 00:00
    2. Комп начал подтормаживать
      От Championc4 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 26.10.2010, 21:22
    3. Лечение. Комп начал подтормаживать.
      От Din_ в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 25.08.2009, 08:45
    4. ппц...срочно помогите у меня комп все хуже и хуже стал работать...
      От anjelina в разделе Технические и иные вопросы
      Ответов: 2
      Последнее сообщение: 23.05.2009, 22:38
    5. стал подтормаживать комп
      От spider в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:38

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00446 seconds with 16 queries