Показано с 1 по 20 из 20.

Подозрение на вирус - постоянные запросы к флоппи (заявка № 75006)

  1. #1
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    87
    Вес репутации
    32

    Thumbs up Подозрение на вирус - постоянные запросы к флоппи

    Здравствуйте. Пару дней назад подключил флушку и антивирус (Avast) обнаружил вирус (авторан помойму) я его благополучно удалил. После начелись запросы к флоппи дисководу с интервалом 2-3 сек. Сканирование CureIt в безопасном режиме и Avastom при загрузке нечего не дали никакие вирусы не найдены. Но мне кажется вирус есть. Высылаю логи. Спасибо.

    ЗЫ создался файл virusinfo_cure.zip размером 1 кб что с ним делать? Высылать нужно ?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
     DeleteService('ws2_32sik');
     DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    87
    Вес репутации
    32
    Высылаю новые логи.

    В AVZ- файл -> просмотр карантина ничего нет.

    Создался файл virusinfo_cure.zip размером 1 кб Пробывал прислать через ссылку "Прислать запрошенный карантин" выскочило сообщение что уже загружен.

    К флоппи запросы идут попрежнему

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Сделайте такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    87
    Вес репутации
    32
    Цитата Сообщение от thyrex Посмотреть сообщение

    Высылаю лог.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1. удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe (Security.Hijack) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Documents and Settings\Админ\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe','');
     DeleteFile('C:\Documents and Settings\Админ\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe');
     QuarantineFile('C:\WINDOWS\system32\vfp8rrus.dll','');
     DeleteFile('C:\WINDOWS\system32\vfp8rrus.dll');
     QuarantineFile('C:\WINDOWS\system32\twain32\local.ds','');
     DeleteFile('C:\WINDOWS\system32\twain32\local.ds');
     QuarantineFile('C:\WINDOWS\system32\twain32\user.ds','');
     DeleteFile('C:\WINDOWS\system32\twain32\user.ds');
     QuarantineFile('C:\xmp.bat','');
     DeleteFile('C:\xmp.bat');
     QuarantineFile('C:\WINDOWS\system32\drivers\str.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\str.sys');
     QuarantineFile('C:\WINDOWS\system32\shell31.dll','');
     DeleteFile('C:\WINDOWS\system32\shell31.dll');
     DeleteFileMask('C:\Program Files\MyCentria', '*.*', true);
     DeleteDirectory('C:\Program Files\MyCentria');
     DeleteFileMask('C:\WINDOWS\system32\twain32 ', '*.*', true);
     DeleteDirectory('C:\WINDOWS\system32\twain32 ');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные лог MBAM

  8. #7
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    87
    Вес репутации
    32
    - Карантин выслал

    Результат загрузки Файл сохранён как 100401_111919_quarantine_4bb448f7e3c54.zip
    Размер файла 452557
    MD5 66506258f5a1124a533d85d62cf65d60

    - Лог прикрепил

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    удалите в MBAM
    Код:
    Зараженные папки:
    C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
    - Сделайте повторные лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    87
    Вес репутации
    32
    Высылаю новые логи к MBAM

    В логах ничего нет. Но проблема не решена, запросы к флоппи продолжаются.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    87
    Вес репутации
    32
    Цитата Сообщение от thyrex Посмотреть сообщение

    Высылаю лог.

    Во время сканирования ComboFix какой то процесс выдал ошибку и запросы к флоппи прекратились, но после перезагрузки опять начались.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\Program Files\Common Files\DeviceHelper\DeviceManager.exe','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    87
    Вес репутации
    32
    Карантин выслал по ссылке Прислать запрошенный карантин

    Результат загрузкиФайл сохранён как 100401_163406_virus_4bb492bec1885.zip
    Размер файла 14701
    MD5 0a67b73b8ec6067512349e96ecb896c5

    Файл закачан, спасибо!

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    отключите флоп в биос ...

  16. #15
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    87
    Вес репутации
    32
    Цитата Сообщение от V_Bond Посмотреть сообщение
    отключите флоп в биос ...
    Отключить можно, но он нужен для работы.

    Кстати когда я нахожусь в режиме переключения :" Пользователь-Администратор " запросы к флоппу прекращаются!

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Файл чистый.

    Попробуйте сделать так: отключите через msconfig все лишнее в автозапуске, а потом включайте по одной программе и сравнивайте результат (после перезагрузки конечно). Может удастся отследить
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    отключите - перегрузитесь ... и можно снова включать

  19. #18
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    87
    Вес репутации
    32
    Цитата Сообщение от V_Bond Посмотреть сообщение
    отключите - перегрузитесь ... и можно снова включать
    Можно поподробнее как это сделать?

    Зайти в биос ...

    Добавлено через 1 минуту

    Цитата Сообщение от thyrex Посмотреть сообщение
    Файл чистый.

    Попробуйте сделать так: отключите через msconfig все лишнее в автозапуске, а потом включайте по одной программе и сравнивайте результат (после перезагрузки конечно). Может удастся отследить

    Сейчас буду пробовать

    Добавлено через 1 час 6 минут

    Цитата Сообщение от thyrex Посмотреть сообщение
    Файл чистый.

    Попробуйте сделать так: отключите через msconfig все лишнее в автозапуске, а потом включайте по одной программе и сравнивайте результат (после перезагрузки конечно). Может удастся отследить
    Ваш совет помог!

    Не поверите в флопик стучался процесс svyaznoymodem.exe (или как то так точно название процесса я не запомнил). На него я даже и не думал.

    Пару дней назад я устанавливал USB модем Связной 3G.

    После его удаления флоп затих. Непонятно только зачем он туда "стучался". Может как то некорректно стали драйвера!

    Проблема решена, тему можно закрывать! Всем спасибо!
    Последний раз редактировалось denis920; 01.04.2010 в 17:13. Причина: Добавлено

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 20
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) denis920, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 12.03.2012, 19:21
    2. Постоянные запросы по неизвестным айпи
      От Gridlockd в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.01.2010, 16:24
    3. Постоянные прямые запросы в интернет
      От myca2007 в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 22.02.2009, 01:45
    4. Странные запросы. Вирус или что-то другое
      От Nuclear в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 01:42
    5. Постоянные запросы на загрузку IE AntiVirus
      От _-grey-_ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.07.2008, 18:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00452 seconds with 16 queries