Показано с 1 по 12 из 12.

Подозрение на вирус, подозрительное поведение компьютера. (заявка № 79771)

  1. #1
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    28

    Thumbs up Подозрение на вирус, подозрительное поведение компьютера.

    Здравствуйте!
    Впервые обращаюсь к вам, поэтому прошу быть терпимее и снисходительнее к моим возможным ошибкам.

    Началось с того, что на компьютере не открывались некоторые сайты, причём без определённой логики. Просто некоторые открывались, а некоторые нет. В то же время на другом компьютере открывались все.

    Проверка компьютера с помощью KIS2010 со свежими базами результата не дала. Однако ранее периодически KIS2010 выдавал сообщения об обнаружении HEUR:trojan.win32.generic . Убивал его, а через какое-то время ситуация повторялась.

    Подозревая настройку компьютера ребёнком (а за ним уже ранее приходилось исправлять), создали нового пользователя с администраторскими полномочиями, а прежнего пользователя оставили ребёнку и оных полномочий лишили. Стало наблюдаться интересное явление: очень редко под новым пользователем (адм.полномочия) запускался explorer.exe - чаще не запускался. Приходилось его запускать вручную. Посвятил полдня изучения опыта людей со схожей проблемой, но ничего подозрительного в реестре найдено не было. В конечном итоге (как рекомендовали на одном из форумов) удалил ветки реестра
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\StreamMRU
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Streams
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\StuckRects2
    и запустил "sfc /scannow".

    После этого перезагрузил компьютер. Explorer.exe запустился теперь нормально. Вэб-Антивирус KIS2010 обнаружил тот же HEUR:trojan.win32.generic, но почему-то в Сети, а приложение - "Приложение служб и контроллеов". KIS2010 все эти обращения запретил. (скриншоты этого события и последующих обнаружений имеются).

    Далее был скачан свежий CureIt и компьютер проверен им в безопасном режbме. Было найдено Trojan.PWS.Ibank.39 и Trojan.Packed.20323

    Далее компьютер снова был проверен KIS2010. Был найден в нескольких местах и удалён Trojan-Dropper.Win32.Shiz.dy

    Больше ничего не находилось.

    Сайты открываются все (которые проверял), explorer.exe самостоятельно запускается во всех пользователях. Смущает, что различную заразу KIS2010 находил в момент, когда я то и дело запускал VLCportable - возможно это просто было два таких совпадения. Ещё смущает, что теперь Skype запускается, но не входит в сеть, сообщая, что комбинация логина и пароля его не устраивают и что возможно где-то уже запущена эта учётная запись скайпа.
    Да и вообще хочется убедиться, что компьютер чистый.

    Помогите мне, пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('\\?\globalroot\systemroot\system32\dvbv2f2.exe','');
     DeleteFile('\\?\globalroot\systemroot\system32\dvbv2f2.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(20);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log

  4. #3
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    28

    сделал всё как просили (или как я понял)

    кстати, Skype запустился как положено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('0.exe','');
     DeleteFile('0.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;

  6. #5
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    28
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен
    ===поэтому файл называется quarantine2.zip

  7. #6
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    28
    даже с двоичкой "данный файл уже был загружен"

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  9. #8
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    28
    Так и сделал. Всё?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Если больше ничего не беспокоит - все

  11. #10
    Junior Member Репутация
    Регистрация
    30.05.2010
    Сообщений
    58
    Вес репутации
    28
    Кроме слов благодарности, могу ли я как-то вас вознаградить ?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Проведите процедуру, которая описана в первом сообщении тут.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) AnVaCher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрительное поведение компьютера
      От AlFrank в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.05.2012, 09:12
    2. Подозрительное поведение компьютера
      От меломан в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 20.03.2012, 12:21
    3. Подозрительное поведение компьютера
      От Горшков Александр в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.01.2010, 16:05
    4. Подозрительное поведение компьютера
      От Karen87 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 08:13
    5. Подозрительное поведение компьютера
      От KonstS в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 02:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01118 seconds with 16 queries