Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Где-то сидит вирус (заявка № 75939)

  1. #1
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29

    Exclamation Где-то сидит вирус

    Помогите пожалуйста убить вирус
    Вот вложения:
    Последний раз редактировалось Saviour; 14.04.2010 в 16:55.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    271
    Отключите восстановление системы
    Пофиксите в Hijackthis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    Обновите базы AVZ!!!
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe','');
     QuarantineFile('C:\Documents and Settings\1\Шаблоны\Brengkolang.com','');
     QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
     QuarantineFile('C:\Documents and Settings\1\Local Settings\Application Data\smss.exe','');
     DeleteFile('C:\Documents and Settings\1\Local Settings\Application Data\smss.exe');
    DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX3C644241');
     DeleteFile('C:\Documents and Settings\1\Шаблоны\Brengkolang.com');
     DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
     DeleteFile('C:\Windows\Tasks\At1.job');
     DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FIREWALL SERVICE');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29
    Обновить почему-то не получается Пишет "ошибка в ходе автоматического обновления...".

    Запрошенный карантин:
    Файл сохранён как 100412_145401_virusinfo_cure_4bc2fbc961d93.zip
    Размер файла 22563
    MD5 4efc3b874b2eb278235f5111aac49c83

    Новые логи:
    Последний раз редактировалось Saviour; 14.04.2010 в 16:55.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Скачайте отсюда архив с новыми базами, распакуйте его. Удалите папку Base и скопируйте вместо неё разархивированную. Сделайте новые логи.

  6. #5
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29
    Базу обновил. Вот новые вложения:
    Последний раз редактировалось Saviour; 14.04.2010 в 16:55.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     QuarantineFile('c:\program files\creative\mediasource\go\ctcmsgo.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте такой лог .

  8. #7
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29
    Карантин отослал.

    При проверке malwarebytes на диске С нашёлся 1 инфицированный файл,а при дальнейшей проверке диска Е вылетел синий экран смерти и компьютер перезагрузился. При попытке скана диска Е AVZ, снова вылезает синий экран на котором:
    IRQL_NOT_LESS_OR_EQUAL
    .
    .
    .
    STOP: 0x0000000A (0x2CC73033,0x000000001C,0x000000000)
    Beginning dump of physical memory.
    Physical memory dump complete.

    Добавлено через 1 час 32 минуты

    При скане дисков AVZ постоянно высвечивается это:
    C:\WINDOWS\system32\ctagent.dll --> Подозрение на Keylogger или троянскую DLL

    Так же прикреплю скрин:
    Последний раз редактировалось Saviour; 14.04.2010 в 16:55.

  9. #8
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29
    Хелперы,помогите плиз!..
    Вот что показал Malwarebytes:
    + ЛОГ
    Последний раз редактировалось Saviour; 14.04.2010 в 16:55.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini ','');
     DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini ');
     QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini ','');
     DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini ');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     DeleteFile('C:\WINDOWS\svchost.exe');
     QuarantineFile('C:\Program Files\ICQToolbar\toolbaru.dll ','');
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    2. удалить в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx3c644241} (Worm.AutoRun) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\powermanager (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
    
    
    Зараженные папки:
    C:\RESTORE\k-1-3542-4232123213-7676767-8888886 (Trojan.Agent) -> No action taken.
    C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\1\Local Settings\Application Data\Bron.tok-12-12 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\1\Local Settings\Application Data\Bron.tok-12-13 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\1\Local Settings\Application Data\Bron.tok-12-14 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-13 (Worm.Brontok) -> No action taken.

    - Сделайте повторные логи virusinfo_syscheck.zip и MBAM

  11. #10
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29
    Карантин закачал
    Вот новые логи:
    Последний раз редактировалось Saviour; 14.04.2010 в 16:55.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    1. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)
    2. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    Закачать архив с файлами можно здесь http://virusinfo.info/upload_clean.php
    Обратите внимание на отчёт после завершения закачки:
    Размер закачанного файла
    MD5 закачанного файла
    Имя файла на сервере (добавляется случайная часть во избежании конфликтов имени)

    Код:
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180
    Установите SP3 и вышедшие после него обновления (может потребоваться активация), обновите браузер до IE8
    The Truth is Out There

  13. #12
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29
    Файл сохранён как 100413_162927_virusinfo_files_1-44D4388A0484_4bc463a7c95b0.zip
    Размер файла 4004716
    MD5 3105331c34e7ec7d5ec2a3eea7ff97f7

    Обновления сейчас поищу

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Service Pack 3(может потребоваться активация)
    Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

  15. #14
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29
    Установил IE 8 и СП3. Сделать какие-нибудь логи?
    Последний раз редактировалось Saviour; 13.04.2010 в 16:28.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    нет на этом лечение можно считать законченным

  17. #16
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29
    Почему-то стало намного хуже((( Видеофайлы перестали открываться и после попытки открытия видеофайла происходит полный сбор системы,шрифтов и т.д...

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Вам необходимо было обновить систему, она у вас дырявая как решето была. СП3 с майкрософт качали? Объясните подробнее суть проблемы - какой программой открываете, с каким расширением видеофайл, и что происходит при открытии
    The Truth is Out There

  19. #18
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29
    СП3 качал с майкрософта.

    Смотрите какая штука: если просто запустить компьютер и после сканирования (AVZ) не трогать файлы,которые он находит как подозрительные ("Подозрение на Keylogger или троянскую DLL" и ещё какие-то перехватчики),то компьютер работает абсолютно нормально.
    Если же начать лечить(удалять) эти файлы,то происходят зависания системы,перестают открываться все программы,шрифты слетают,диспетчер задач не открывается,видеофайлы не открываются.

    Прогнал сейчас ещё раз MBM,в нём всё чисто. Его надо удалить из системы?

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    132
    Цитата Сообщение от Saviour Посмотреть сообщение
    не трогать файлы,которые он находит как подозрительные ("Подозрение на Keylogger или троянскую DLL" и ещё какие-то перехватчики),то компьютер работает абсолютно нормально.
    Если же начать лечить(удалять) эти файлы,то происходят зависания системы,
    Это легитимные файлы, их не надо трогать. Вообще не надо ничего лечить и удалять, если вам явно не указали на это хелперы, если что неясно - спрашивайте, вам обязательно ответят
    МВАМ удалите
    The Truth is Out There

  21. #20
    Junior Member Репутация
    Регистрация
    12.04.2010
    Сообщений
    48
    Вес репутации
    29
    Ребят,ничего не помогло,опять всё как и было. Постоянные перезагрузки,синие экраны. При сканировании других жёстких дисков AVZ постоянно при появлениие этой строки (Прямое чтение C:\DOCUME~1\1\LOCALS~1\Temp\avz_3128_1.tmp) "орёт" мой антивирус (НОД32) находя данный вирус: Win32/TrojanClicker.Small.IS

    Вот выкладываю скрины того,что у меня с компом происходит:
    Последний раз редактировалось Saviour; 23.04.2010 в 11:22.

  • Уважаемый(ая) Saviour, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. В ядре ОС сидит вирус
      От yanussss в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.08.2011, 21:50
    2. ГДЕ ТО СИДИТ ВИРУС
      От Нелёк в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.02.2010, 20:53
    3. Вирус сидит?
      От omwolf в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 17.03.2009, 12:59
    4. сидит вирус
      От denlion в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 14.05.2007, 13:04
    5. Сидит ли вирус в корзине?
      От kiolo в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.06.2006, 15:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01650 seconds with 16 queries