Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

вирус (заявка № 79686)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    34

    Thumbs up вирус

    Добрый день. Прошу помочь.
    Зашел на приличный сайт и браузер завис, фаервол выдал сообщение об изменении файла c.dll, расположенного в папке system32. Кажется ранее его не было. После этого перестали включаться ДрВеб, AVZ, HiJackThis, Диспетчер задач, редактор реестра, пропала закладка Восстановления системы. Так же добавился файл nettir32.exe в автозагрузке. При открывании папок, окна закрываются автоматически.
    Не могу выполнить проверку по правилам.
    Проверил диск на другой системе ДрВебом с обновлениями. Пишет, что вирусов нет. На Вас вся надежда. Прошу совет.
    Последний раз редактировалось zoneclear; 29.05.2010 в 18:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    34
    При запуске avz.exe выключается компьютер. Запускал в обычном режиме (не безопасном).
    Файл в автозакгрузке nettir32.exe я переименовал в nettir32.ex_ и поместил в отдельную папку в автозагрузке. И теперь при загрузке системы открывается эта папка.
    Может удалить файл c.dll из system32?

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    3. Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Содержимое этого параметра напишите в своем сообщении
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    34
    Спасибо thyrex. Завтра достану резак и вышлю содержимое параметра.

  7. #6
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    34
    По этому параметру в поле Type написано Reg_SZ, в поле Data написано D:\Windows\System32\c.dll

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Переименуйте этот файл
    - Очистите значение параметра AppInit_DLLs
    - Пробуйте загрузиться в обычном режиме, если получиться - сделайте комплект логов по правилам

    Пришлите переименованный файл D:\Windows\System32\c.dll запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

  9. #8
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    34
    Выслал карантин (переименован в c_badboy.dll). Логи получились, но базы AVZ от 8 мая, так как при автообновлении выскакивала ошибка "Ошибка в ходе автообновления - ошибка загрузки файла с описанием обновления avzupd.zip".

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('D:\WINDOWS\system32\syschecked.exe','');
     DeleteFile('D:\WINDOWS\system32\syschecked.exe');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Sys.Check');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(6);
    ExecuteREpair(20);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Попробуйте обновить базы
    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    34
    Базы обновились. Выслал логи и карантин.

    Подскажите, файл c.dll, который бал переименован, позже надо будет удалить? И еще при загрузке системы появляется окно (папка) с файлом nettir32.ex_. Изначально файл был nettir32.exe в папке Автозагрузка (я его самовольно переименовал и переместил).

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRAMS\FLASHGET\jccatch.dll (file missing)
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\fgiebar.dll (file missing)
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe (file missing)
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe (file missing)
    больше ничего подозрительного

    Цитата Сообщение от zoneclear Посмотреть сообщение
    Подскажите, файл c.dll, который бал переименован, позже надо будет удалить?
    - удалите

    Цитата Сообщение от zoneclear Посмотреть сообщение
    И еще при загрузке системы появляется окно (папка) с файлом nettir32.ex_. Изначально файл был nettir32.exe в папке Автозагрузка (я его самовольно переименовал и переместил).
    -Пришлите этот файл запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

    - Проведите процедуру, которая описана в первом сообщении тут.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    А также

    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    34
    Исполнил рекомендации polword (обновления системы позже сделаю). Процедуру автосбора файлов для AVZ провел. Выслал логи RSIT и карантин.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('D:\WINDOWS\system32\vhi.dll','');
    QuarantineFile('D:\WINDOWS\system32\kljszs.dll','');
    QuarantineFile('D:\WINDOWS\system32\pxku.dll','');
    QuarantineFile('D:\WINDOWS\system32\ynsajf.dll','');
    DeleteFile('D:\WINDOWS\system32\ynsajf.dll');
    DeleteFile('D:\WINDOWS\system32\pxku.dll');
    DeleteFile('D:\WINDOWS\system32\kljszs.dll');
    DeleteFile('D:\WINDOWS\system32\vhi.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(19);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    34
    Выслал логи и карантин.

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Чисто. Обновляйте систему
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    34
    Спасибо thyrex и остальным хелперам. Осталась последняя проблема. При загрузке системы появляется окно (папка) с файлом nettir32.ex_. Изначально файл был nettir32.exe в папке Автозагрузка (я его переименовал и переместил). Я его в архиве ZIP выслал. Нужно ли его удалить? И как убрать старт окна?
    И еще вопрос. Были ли среди вредителей такие, которые воруют пароли?
    Последний раз редактировалось zoneclear; 31.05.2010 в 20:58.

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    Пофиксите в HiJack
    Код:
    O4 - Startup: карантин
    Сообщение не появляется?

    Воришек паролей нет в карантине
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    05.09.2008
    Сообщений
    64
    Вес репутации
    34
    Сообщение не появляется и папка с файлом удалились.

    Еще раз сделал стандартный скрипт №2 в AVZ. Эта запись в логе вызвала подозрение. "7. Эвристичеcкая проверка системы
    >>> D:\WINDOWS\system32\Drivers\sptd.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
    Проверка завершена".
    На всякий случай сразу высылаю этот лог. Будь добр, скажи - вредно это или нет.

    И еще одно в папке где установлен HiJackThis.exe появился файл trend.exe (trend - это учетная запись в системе) с такой же графической иконкой файла как у HiJackThis.exe. Это не вредоносная активность?
    Последний раз редактировалось zoneclear; 31.05.2010 в 23:37.

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,352
    Вес репутации
    3019
    sptd.sys - это от эмулятора дисков. Файл чистый.

    trend.exe запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) zoneclear, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00382 seconds with 15 queries