Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Брандмауэр сообщает о вирусном заражении (заявка № 71712)

  1. #1
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    50
    Вес репутации
    52

    Thumbs up Брандмауэр сообщает о вирусном заражении

    Добрый день. При загрузке системы Брандмауэр windows начинает сканирование и сообщает о 27 зараженных файлах. Все время появляются сообщения о вирусных атаках (наверное - они по-английски).
    Раньше стоял антивирус Avast. Сейчас он заблокирован (наверное) - не запускается. Позавчера сканировала авастом при запуске. Он обнаружил и удалил много вирусов ( в основном: Win32:Malware-gen, Win32:Crypt-FVB, Win32:Rootkit-gen), а также было сообщение: Sign of "VBS:Malware-gen" has been found in "C:\WINDOWS\file.bat" file.
    Вчера компьютер вообще перестал загружаться. Постоянно предлагал безопасный режим. При его выборе он опять перезагружался... и всё сначала. Каким-то чудом я его загрузила, но появился XP Internet Security и сообщение (см.выше).
    Пожалуста помогите!. Боюсь, что вирусы съедят всю систему.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Здравствуйте.
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Пользователь\local settings\application data\av.exe');
     TerminateProcessByName('c:\windows\system32\syncman.exe');
     TerminateProcessByName('c:\documents and settings\Пользователь\syncman.exe');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('c:\documents and settings\Пользователь\local settings\application data\av.exe','');
     QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\roovuquy.exe','');
     QuarantineFile('C:\WINDOWS\system32\gufootud.exe','');
     QuarantineFile('C:\WINDOWS\system32\SyncMan.exe','');
     QuarantineFile('C:\Documents and Settings\Пользователь\SyncMan.exe','');
     QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\gufootud.exe','');
     QuarantineFile('c:\documents and settings\Пользователь\syncman.exe','');
     QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\fougoobefy.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\epfsiwpoc.sys','');
     DeleteService('dqmlcqusftihl');
     DeleteService('axyda');
     DeleteService('es9e5qufaeolp');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('c:\documents and settings\Пользователь\local settings\application data\av.exe');
     DeleteFile('c:\documents and settings\Пользователь\syncman.exe');
     DeleteFile('c:\windows\system32\syncman.exe');
     DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\roovuquy.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\epfsiwpoc.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\lxnxsvksuh.sys');
     DeleteFile('C:\WINDOWS\system32\gufootud.exe');
     DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\gufootud.exe');
     DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\fougoobefy.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rezoogar');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tosu');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SyncMan');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SyncMan');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tosu');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(1);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    50
    Вес репутации
    52
    Скопировала Ваш скрипт. Вошла в АVZ-файл-выполнить скрипт. Вставила Ваш скрипт. Появилось сообщение об ошибке: ";" expected в позиции 36:1. Что делать?

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от chnv Посмотреть сообщение
    Что делать?
    Ошибок в скрипте нет. Копируйте внимательно
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    50
    Вес репутации
    52
    Выполнила скрипт. Сообщения брандмауэра пропали, появился аваст. Я не очень поняла как прислать карантин. По правилам хотела создать новые логи в АVZ, но скрипты выполняются, а virusinfo_syscure.zip, virusinfo_syscheck.zip не создаются. Может я что-то не так делаю? или так и должно быть? Новый hijackthis.log получился.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от chnv Посмотреть сообщение
    Я не очень поняла как прислать карантин.
    Над первым сообщением Вашей темы есть красная ссылка ссылке Прислать запрошенный карантин. Как правильно присылать, прочтите в Приложении 3 правил

    Цитата Сообщение от chnv Посмотреть сообщение
    скрипты выполняются, а virusinfo_syscure.zip, virusinfo_syscheck.zip не создаются
    Новые логи перезаписывают старые. Проверьте время создания логов
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    50
    Вес репутации
    52
    У меня в AVZ4 нет ни папки, ни файла Quarantine. Если зайти: файл-просмотр карантина - там пусто. Попыталась сделать опять новый лог. После выполнения сканирования в папке LOG пусто.
    Выкладываю лог Хайджака.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Попробуйте сделать логи полиморфным AVZ из моей подписи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    50
    Вес репутации
    52
    Спасибо. Логи получились. Выставляю. А карантина нет (может и не должно быть?)

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    50
    Вес репутации
    52
    Выполнила Ваш скрипт. Написано, что скрипт выполнен без ошибок. Но в протоколе написано:
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\cdrom.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\cdrom.sys)
    Карантин с использованием прямого чтения - ошибка
    Появилась папка Quarantin. В ней папка 2010-02-20. Но она пустая.

    Добавлено через 5 часов 5 минут

    Ответьте, пожалуйста!

    Добавлено через 7 часов 57 минут

    Карантин выложила. Что мне делать дальше?
    Последний раз редактировалось chnv; 20.02.2010 в 23:15. Причина: Добавлено

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    C:\WINDOWS\system32\DRIVERS\cdrom.sys заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    50
    Вес репутации
    52
    Ой! Вылетело сообщение аваст: C:\toi.exe вирус/червь Удалила.

    Добавлено через 13 минут

    У меня в папке C:\WINDOWS\system32\DRIVERS нет файла cdrom.sys. Есть только cdaudio.sys и cdfs.sys ... Или я опять что-то не так поняла?
    Последний раз редактировалось chnv; 21.02.2010 в 01:08. Причина: Добавлено

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    50
    Вес репутации
    52
    При сканировании Аваст выдал сообщение о вирусе C:\Documents and Settings\LocalService\Local Settings\Application Data\av.exe Имя: Win32:Malware-gen. Мне его удалить? Или как? (По Вашей ссылке написано:"ничего не удаляйте, не посоветовавшись с хелперами.")

    Добавлено через 30 минут

    Ответьте, пожалуйста!
    Последний раз редактировалось chnv; 21.02.2010 в 02:02. Причина: Добавлено

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Вы лог сделали? Я его не вижу...
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    50
    Вес репутации
    52
    Да-да, отправляю!

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ
    Код:
    Заражено ключей реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Trojan.Agent) -> No action taken.
    
    Заражено файлов:
    C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
    C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\Пользователь\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    19.02.2010
    Сообщений
    50
    Вес репутации
    52
    Удалила. А что делать далее?

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Проблемы остались?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) chnv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. В активном заражении 3 или 4 вируса
      От w32stator в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 27.07.2010, 21:28
    2. Ответов: 8
      Последнее сообщение: 25.02.2010, 01:05
    3. Ответов: 12
      Последнее сообщение: 22.02.2009, 04:14
    4. Подозренение о заражении
      От Synthetic_God в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.12.2008, 10:27
    5. Ответов: 8
      Последнее сообщение: 12.06.2007, 09:15

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00828 seconds with 19 queries