-
Junior Member
- Вес репутации
- 53
zonetech.info
Добрый день.
Последние несколько дней интернет начал пропадать через минут 2-15 (не знаю от чего зависит). При этом появляется сообщение, что generic... сделал ошибку и будет закрыт, через секунд 15-1.5 минуты компьютер зависает.
Стоял Norton, который находил какие-то исполняемые файлы, успешно их совал в карантин.
Проверил Cureit. Найдены какие-то вирусы, в основном - в папке карантин нортона. Решил попробовать Касперским, скачал триальную версию, второй день работает, провел полную проверку. Найдены вирусы и удалены. Но время отв ремени появляется сообщение, что svchost Пытается скачать с сайта zonetech.info ехе файл. Иногда появляется сообщение про то, что этот же процесс пытается загрузить с rapidshare или других сайтов какую-то заразу, которую касперский уничтожает. Опять таки, время от времени появляется ошибка Generic... сделал ошибку и будет закрыт и компьютер виснет...
Иногда появляется сообщение от Kaspersky про найденыйв файле mt1[1].exe HEUR:Trojan.Win32.Generic
Выкладываю логи AVZ. HijackThis не запустился, так как ругнулся на отсутствие msvbvm60.dll. Помогите, пожалуйста.
Последний раз редактировалось LdrLo; 29.11.2009 в 17:46.
Причина: Добавил сообщение про mt1.exe
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\jcdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9211236433-3250188506-883649809-3709\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9211236433-3250188506-883649809-3709\wmfcgr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
DeleteFile('C:\WINDOWS\jcdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Спасибо за оперативный ответ.
В папке Quarantine есть пустая папка 2009-11-29, поэтому ничего не присылал по красной ссылке Прислать запрошенный карантин вверху темы.
Пока делался сбор информации по одноименному скрипту, касперский ругнулся, что svchost пробует скачать файл с рапидшары. И примерно через минуту инет отключился. Пришлось перегрузиться.
Новые логи - ниже:
-
-
-
Junior Member
- Вес репутации
- 53
-
Удалите в МВАМ
Код:
Заражено папок:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
Заражено файлов:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Больше ничего плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Пока... тьху три раза... ничего нет плохого. Ждемсь...
Update1:
Увы...
Касперский, как и в прошлые разы, ругается о попытке загрузить программой svchost файла с рапидшары.
Касперский определил заразу как "Trojan.Win32.Buzus.cqbm". Сравнил с логом предыдущих обнаружений - отличается только последними буквами (вместо Trojan.Win32.Buzus.cqbm указано, например, Trojan.Win32.Buzus.cqjn или Trojan.Win32.Buzus.cnbx )
Последний раз редактировалось LdrLo; 29.11.2009 в 23:06.
Причина: Update1:
-
сделайте лог Gmer
+ лог HiJackThis.
-
-
Junior Member
- Вес репутации
- 53
Доброй ночи. Сделал:
П.С. проблему с запуском hijackthis (не хватало длл-ки) решил копированием с другого компьютера нехватающего файла...
Последний раз редактировалось LdrLo; 30.11.2009 в 01:17.
Причина: пс
-
Junior Member
- Вес репутации
- 53
Добрый день.
Апдэйт темы
(последний ответ был вчера, а по правилам - если в течении дня нет ответа, то можно тему апдэйтить...)
-
Сканирование CureIt делали из безопасного режима?
Пройдитесь по системе этим http://support.kaspersky.ru/viruses/...?qid=208636926
Загрузитесь с LiveCD, замените файл C:\WINDOWS\system32\drivers\atapi.sys
на чистый из вашего дистрибутива. Повторите лог gmer.
-
-
Junior Member
- Вес репутации
- 53
Уважаемый миднайт. На дистрибутве нашел файл ATAPI.SY_ - на него менять? (естестно, с заемной расширения на sys)
-
Это сжатый, его распаковать надо.
-
-
Да, именно на него (распаковав см faq). Скопируйте зараженный atapi в какую-нубудь папку, в последствии, закарантиньте его по правилам и пришлите по красной ссылке вверху темы.
Вот вам в помощь http://virusinfo.info/showthread.php?t=51654
-
-
Junior Member
- Вес репутации
- 53
Доброе утро.
Отправил закарантиненый файл два раза... Надеюсь меня за это ругать будут, но не сильно: первый раз отправил без пароля, второй раз - с паролем. Лог выложу вечером...
П.С. И еще раз спасибо всем помогающим
-
Junior Member
- Вес репутации
- 53
Доброй ночи.
Логи от GMERa:
-
Упорная зараза . Проверьтесь этим http://www.esagelab.com/files/tdss_remover_latest.rar
Повторите процедуру с заменой файла C:\WINDOWS\system32\drivers\atapi.sys
И повторите после этого лог gmer снова.
-
-
Junior Member
- Вес репутации
- 53
Доброе утро.
Утилита tdss_remover запустилась, нашла десятка два объектов, порекомендовала удалить. Выбрал "удалить", на что получил ответ, что файл такой-то не может быть удален (неудаляемых файлов было несколько, не записал как называются).
Вопросов несколько:
1) нужно ли запускать ее в безопасном режиме? (запускал в обычном)
2) нужно ли отключать антивирь (касперский) при проверке данной программой? (Касперский ругнулся, что процесс пытается получить доступ к драйверам чего-то и если этому процессу разрешить работу, то касперский не сможет его по ходу контролировать)
3) можно ли распаковывать atapi.sy_ на другом компьютере, а потом копировать в нужную папку из под LIVE CD? Или обязательно делать как написано в инструкции винды - зайти в режиме отладки и т.д.?