Показано с 1 по 9 из 9.

Подозрение на вредоносное ПО (заявка № 57901)

  1. #1
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    31

    Подозрение на вредоносное ПО

    В протоколе AVZ есть "красные строки".

    Когда выполнял скрипты для сбора он обнаружил вирусы.

    Cureit ничего не видит!
    На компе стал плохо работать инет (низкая скорость). Грешил на роутер, но видимо он ни причем!
    Последний раз редактировалось GRomaN; 18.11.2009 в 00:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('d:\94aa32d62a2c540fe03a9427ca\wgasetup.exe','');
     QuarantineFile('C:\windows\system32\DRIVERS\usbser_lowerflt.sys','');
     QuarantineFile('C:\windows\system32\DRIVERS\DisplayLinkmirrorport.sys','');
     QuarantineFile('C:\windows\System32\Drivers\afqmjz6z.SYS','');
     QuarantineFile('C:\windows\System32\Drivers\ad0qrsvo.SYS','');
     QuarantineFile('C:\windows\Offline Web Pages\svchost.exe','');
     QuarantineFile('C:\windows\System32\Drivers\jcguard.SYS','');
     DeleteFile('C:\windows\Offline Web Pages\svchost.exe');
     DeleteFile('C:\windows\system32\DRIVERS\usbser_lowerflt.sys');
     DeleteFile('d:\94aa32d62a2c540fe03a9427ca\wgasetup.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
     BC_ImportALL;
     BC_DeleteSvc('upperdev');
     BC_DeleteSvc('SysSch');
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Закачайте карантин по ссылке вверху страницы, повторите логи (если у вас есть флешка - логи делайте с вставленной флешкой, она наверняка заражена).
    The Truth is Out There

  4. #3
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    31
    еще лог gmer на всякий случаай
    Последний раз редактировалось GRomaN; 18.11.2009 в 00:33.

  5. #4
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    31
    карантин закачал!
    высылаю повторные логи
    флэшка точно не заражена
    Последний раз редактировалось GRomaN; 18.11.2009 в 00:33.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    В логах ничего подозрительного не увидел, какие-то проблемы на компьютере наблюдаются?
    The Truth is Out There

  7. #6
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    31
    В AVZ теже проблемы

    Функция NtCreateKey (29) перехвачена (806237B2->B7EA70E0), перехватчик spsb.sys
    Функция NtEnumerateKey (47) перехвачена (80623FF2->B7EC5CA4), перехватчик spsb.sys
    Функция NtEnumerateValueKey (49) перехвачена (8062425C->B7EC6032), перехватчик spsb.sys
    Функция NtOpenKey (77) перехвачена (80624B84->B7EA70C0), перехватчик spsb.sys
    Функция NtQueryKey (A0) перехвачена (80624EAA->B7EC610A), перехватчик spsb.sys
    Функция NtQueryValueKey (B1) перехвачена (806219EA->B7EC5F8A), перехватчик spsb.sys
    Функция NtSetValueKey (F7) перехвачена (80621D38->B7EC619C), перехватчик spsb.sys
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AA921F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8AA921F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8994A500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 8994A500 -> перехватчик не определен

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от GRomaN Посмотреть сообщение
    В AVZ теже проблемы
    Это нормальные сообщения.

  9. #8
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    187
    Вес репутации
    31
    Тогда спасибо!

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) GRomaN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. подозрение на вредоносное ПО
      От Listener в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.02.2012, 08:40
    2. Подозрение на вредоносное вторжение
      От PEAHEMATOP в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 29.09.2011, 18:07
    3. Подозрение на вредоносное ПО
      От dddimmm в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 16.11.2010, 18:11
    4. Ответов: 5
      Последнее сообщение: 20.10.2009, 22:25
    5. Подозрение на вредоносное ПО
      От Andruxa87 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.07.2009, 14:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01281 seconds with 16 queries