Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

наверно это вирус (заявка № 8552)

  1. #1
    Junior Member Репутация
    Регистрация
    21.03.2007
    Сообщений
    16
    Вес репутации
    63

    Thumbs up наверно это вирус

    Добрый вечер.
    Подскажите мне позжалуйса можно ли что -то сделать (кроме переустановки ОС) в такой ситуации: я заметил недавно что мой ноутбук стал дольше грузиться при вкл(ра ньше пробегала полоса загрузки 2 -2.5 раза -но тут вдруг заметил что проходит 6 -7 раз полоса загр) да и НБ стал притормаживать. Решил я сделать обновление вин д. выбрал в системе параметр: уведомлять но не загружать обновл. без предупреждения - а сам открыл мониторинг сети в KIS 6 смотрю подкл. приложение svhost.exe и пошел трафик(никаких интернет програм не открывал при этом) позже появилось уведомление о готовых обновлениях - я их загр. и устан. (решил что svhost.exe за пускалось для обн.) но потом после перезагр. смотрю ч/з мониторинг сети как только подкл интернет - сразу подкл svhost.exe и передает исх трафик через TCP прич ем если разорвать svhost.exe соед то оно тут же переконнект к др ip ку (смотрел через who is айпишники разных стран: сша, испания и тд) это приложение я заблоки ровал ч/з анти-хакер. Но интересно что это было?В микрософте сказали что сбором информ это быть не может- я же параметр обновл откл в системе полностью. Спросил знакомых сказали что это jeefo, но я посмотрел на сайте касперского он еще и по др называется - Win32.Hidrag -так вот такой вирус у меня kis 6 находил,только это давно было и он нашел его не в системе а в файле котор я загр ч/з интернет и я его даже не открывал. Соответсвенно jeffo я бы обноружил(несколько раз проверял НБ на вирусы ничего не нашел- сигнатуры за 21 мар этого года) и в настр kis проверка вир по макс полная, даже без оптимизации. Вчера вдруг перестало раб соед инт ернет(я использ дуал ап ч/з EDGE) 633 ошибка при подкл. Причем переуст др ры на модем (и стандартн и виндовск блютус др ры) и перезагр тоже и порт виртуальный пытался изменить в св ах модема. Кстати для информации: я посмотрел в отчетах что у меня перед этим н аходил kis -вред програм exploit.Win32.PhpBB.g но этот файл я не откр а сразу удалил и была обнар троянск прогр trojan-downloader.Html.Agent.c на сайте traff.s tep57.info/3/ может это она и прицепилась (примерно после этого все и началось).
    Буду рад получить ваш ответ.
    Вложения Вложения
    Последний раз редактировалось beeline; 21.03.2007 в 19:45.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Логи нужно прикрепить к сообщению, а через ссылку нужно будет присылать уже файлы, которые мы скажем. Но это после логов

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\eDStoolbar.dll','');
     QuarantineFile('C:\WINDOWS\system32\sysenv.dll','');
     QuarantineFile('C:\DOCUME~1\LPopil\LOCALS~1\Temp\RtkBtMnt.exe','');
    RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

  5. #4
    Junior Member Репутация
    Регистрация
    21.03.2007
    Сообщений
    16
    Вес репутации
    63
    файлы карантина взял в AVZ файл - просмотр карантина - там поставил галочки напротив всех и выбрал - заархивировать. Это правильно ?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Все правильно. Теперь архив нужно закачать по ссылке, как Вы хотели закачать логи

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Ну да , ну да ...=))) Прислать только не забудьте по ссылке в шапке этой темы : Прислать запрошенные файлы

  8. #7
    Junior Member Репутация
    Регистрация
    21.03.2007
    Сообщений
    16
    Вес репутации
    63
    Хелперы, добрый день, ну так что нашли у меня что - нибудь. Сто пудов это какой то вирус или троян и наверно неизвестный еще. Просто самому интересно - поэтому не стал сносить винду

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Присланные файлы чистые

  10. #9
    Junior Member Репутация
    Регистрация
    21.03.2007
    Сообщений
    16
    Вес репутации
    63
    MaXim, может тогда троян : ну почему у меня как только подкл интернет лезит прогр svhost.exe в нет и передает трафик через TCP (за 2 3 мин где то по 700 кбайт - для дуал апа это многовато наверно ) да и при этом я не какие программы не откр вообще (только вкл НБ - только подкл нет и сразу ползет только исх трафик- а раньше такого не было ни когда - а я польз им уже мес 5 и такого не замечал ) и если соед разорвать то оно тут же переконект на др ап ник и откр на моем НБ др порт. Да и как объяснить то что при вкл НБ полоса загр винды проходит раз 6 - 7 а раньше только 2 и то неполные - сам я ничего не устанавливал не удалял и в автозагр не трогал - мож там чет и появилось но не по моей же воле (я же систем приложения не знаю какие были какие нет)
    Последний раз редактировалось Макcим; 02.05.2007 в 17:09.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Посмотрел логи ещё более внимательно. Можно проверить эти файлы.
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\wbem\unsecapp.exe','');
     QuarantineFile('C:\DOCUME~1\LPopil\LOCALS~1\Temp\Rar$EX00.125\1.exe','');
     QuarantineFile('UBHelper.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\osanbm.sys','');
    RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

    Но я все равно не уверен что эти файлы имеют отношение к проблеме. Попробуйте отредактировать созданые по умолчанию в KIS правила для svchost.exe. Там слишком много разрешаенно. Оставьте только правило с разрешением DNS. Переведите Анти-Хакер в режим Максимальной защиты (чтобы алерты не мучали) и попробуйте поработать в сети. Если все работает нормально, то так и оставьте.
    Последний раз редактировалось Макcим; 22.03.2007 в 14:40.

  12. #11
    Junior Member Репутация
    Регистрация
    21.03.2007
    Сообщений
    16
    Вес репутации
    63
    ок я шас на работе, но когда прейду домой обязательно выполню скрипт.

  13. #12
    Junior Member Репутация
    Регистрация
    21.03.2007
    Сообщений
    16
    Вес репутации
    63
    MaXim, новый карантин добавил.
    Последний раз редактировалось Макcим; 02.05.2007 в 17:09.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    ClearQuarantine;
     BC_QrFile('C:\WINDOWS\system32\wbem\unsecapp.exe');
     BC_QrFile('C:\DOCUME~1\LPopil\LOCALS~1\Temp\Rar$EX00.125\1.exe');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
    Прикрепите файл bclr.log из папки AVZ к своему следующему сообщению.
    Последний раз редактировалось Макcим; 22.03.2007 в 23:44.

  15. #14
    Junior Member Репутация
    Регистрация
    21.03.2007
    Сообщений
    16
    Вес репутации
    63
    MaXim, а у меня скрипт был успешно выполнен, но после перезагр в АВЗ в просмотре карантина пусто (там есть за вчерашний день 3 пункта возле которых можно поставить галочку и выбрать а за седнешнее число пусто, причем я же до этого делал скрипт - там был за седн число 2 пункта котор можно было выбратьб - сейчас их нет и новых тоже нет за сегод число ) ??????
    Последний раз редактировалось Макcим; 02.05.2007 в 17:09.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    А лог получился в папке AVZ?

  17. #16
    Junior Member Репутация
    Регистрация
    21.03.2007
    Сообщений
    16
    Вес репутации
    63
    virusinfo_cure.zip virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscure.html virusinfo_syscheck.html - это все что есть в папке LOG - похоже что это только старые логи а новых нет (

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Удалите папку LOG и получите логи ещё раз

  19. #18
    Junior Member Репутация
    Регистрация
    21.03.2007
    Сообщений
    16
    Вес репутации
    63
    MaXim, извеняюсь что так долго, папку лог удалил и получил новые - теперь прислать их через запрошен файлы или выполнить тот последний скрипт, послк которого неполучились файлы карантина ?
    Последний раз редактировалось Макcим; 02.05.2007 в 17:10.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Тогда так. Удалите ещё и папку Quarantine. Выполните скрипт, пришлите файлы карантина по правилам раздела и добавьте логи к своему новому сообщению.

  21. #20
    Junior Member Репутация
    Регистрация
    21.03.2007
    Сообщений
    16
    Вес репутации
    63
    MaXim, удалил ту папку и выполнил скрипт - он выполнился успешно - перезагр комп - но в просмотре карантина пусто (дата сегод числа есть но самих файлов нет и в папке Quarantine - тож пусто ) че такое ?
    Последний раз редактировалось Макcим; 02.05.2007 в 17:10.

  • Уважаемый(ая) beeline, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. вирус наверно
      От flash^ в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 19.05.2011, 21:40
    2. Ответов: 3
      Последнее сообщение: 15.05.2010, 14:16
    3. наверно вирус=)
      От card151355 в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 08.04.2010, 22:16
    4. Проблемма с интернетом,наверно вирус
      От jerry47 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 07:02
    5. наверно вирус в System Volume Information
      От nemestnaya в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 03:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01614 seconds with 20 queries