Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Обнаружено вредоносное ПО (690 вирусов). (заявка № 91919)

  1. #1
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49

    Обнаружено вредоносное ПО (690 вирусов).

    Девушка попросила помочь ей избавиться от вирусов.
    антивируса вообще не было у неё.
    Поставил ей Avast! IS 5.0.677.
    Просканировал и удалил всё, что можно было.
    Но комп также тормозил, как будто взламывал пентагон в фоновом режиме.
    Затем записал на диск Kaspersky Rescue Disc с последними сигнатурами.
    Запустил загрузку системы с диска и просканировал комп - удалил много вирусов.
    Запустив систему установил Kaspersky IS 11.0.1.400.
    Снова просканировал систему естественно самым глубоким анализом.
    Удалил все, что можно. Но остались вредоносные программы, которые удаляться не желают.
    Вложил общий отчет Каспера.
    Помогите, а то формат диска не хочется делать.
    Последний раз редактировалось Othari666777; 18.11.2010 в 19:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Где логи АВЗ?

  4. #3
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49
    Сегодня каспер выдал:
    Я нажал лечить с перезагрузкой.
    C:\WINDOWS\cfdrive32.exe
    Trojan.Win32.VB.amcx

    сейчас сделаю...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    + Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49
    Логи AVZ прикрепил.
    Делаю MBAM

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);           
     DeleteService('UrlLogger');
     QuarantineFile('C:\DOCUME~1\F800~1\LOCALS~1\Temp\CheckUpdates.exe','');
     DeleteService('fqanasz');
     QuarantineFile('C:\WINDOWS\system32\05.tmp','');
     DeleteService('gwbys');
     QuarantineFile('C:\WINDOWS\system32\04.tmp','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\48.scr','');
     DeleteFile('C:\WINDOWS\system32\48.scr');
     DeleteFile('c:\windows\system32\wsaef.dll');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\04.tmp');
     BC_DeleteSvc('gwbys');
     DeleteFile('C:\WINDOWS\system32\05.tmp');
     BC_DeleteSvc('fqanasz');
     DeleteFile('C:\DOCUME~1\F800~1\LOCALS~1\Temp\CheckUpdates.exe');
     BC_DeleteSvc('UrlLogger');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(1);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Ещё нужен лог Гмер

  8. #7
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49
    Вот логи MBAM

  9. #8
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49
    Цитата Сообщение от Olejah Посмотреть сообщение
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление
    От интернета нормально отключается.
    Но при отключении от локалки выдает ошибку

    Ещё у неё почему-то одно неактивное сетевое подключение есть, в котором написано "сетевой кабель не подключен"

    Вопрос: Отключаться именно от локалки обязательно?

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Удалите в МВАМ

    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\MSNETDED (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UrlLogger (Trojan.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\YZ2JREC7\pnibsmh[1].gif (Worm.Conficker) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\64496..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\0370365..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\0794244..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\107..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\14246..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\173..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\270487..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\292782..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\373..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\3979700..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\4063393..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\43224..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\446..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\7190645..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\7300898..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\761569..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\7666556..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\942967..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\9475467..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Евгения\Application Data\9860..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Пользователь.COMPUTER-SPYAZN.000\Application Data\12854..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Пользователь.COMPUTER-SPYAZN.000\Application Data\76728..exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Пользователь.COMPUTER-SPYAZN.000\Application Data\79905..exe (Trojan.Agent) -> No action taken.
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Trojan.Agent) -> No action taken.
    C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
    C:\Documents and Settings\All Users\firefox.exe (Rootkit.Dropper) -> No action taken.
    C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
    Добавлено через 52 секунды

    Выполняйте как можете, не забудьте - лог Гмер и повторите лог МВАМ
    Последний раз редактировалось olejah; 18.11.2010 в 21:37. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49
    При запуске ГМЕР компьютер зависает и ничего не происходит в течение 20 минут... больше ждать не стал и перезагрузил компьютер. После повторил запуск ГМЕР - также. Теперь делаю проверку МВАМом.

  12. #11
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49
    Вот новые логи.
    Есть ещё с зараженными файлами
    virusinfo_cure.zip
    Хоть его и не надо выкладывать, но хочу убедиться и услышать, что точно не надо.

  13. #12
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49
    И карантин отослал.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\ssmjo.dll','');
     DeleteFile('C:\WINDOWS\system32\ssmjo.dll');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - сделайте лог Combofix

  15. #14
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49
    ComboFix тоже зависает и не происходит ничего в течение часа-полутора...больше не выдерживал (мышь я вовремя проверки не трогал)(хоть и написано, что не более 20 минут проверка производится, даже на самых зараженных компьютерах)

  16. #15
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    В безопаном режиме пробуйте.

  17. #16
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49
    В безопасном тоже зависает...

    Добавлено через 23 минуты

    Так что там с моим файлом карантина?

    Добавлено через 3 минуты

    И иногда ваш сайт не открывается, а пишет, что страница не обнаружена...
    Как будто сервер лежит... Только после двух перезагрузок снова можно зайти... хотя другие сайты открывает без проблем...
    Последний раз редактировалось Othari666777; 20.11.2010 в 12:44. Причина: Добавлено

  18. #17
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Проверьтесь для убндительности так - http://support.kaspersky.ru/faq?qid=208636215

    И поставьте заплатки.

  19. #18
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49
    Net-Worm.Win32.Kido (Conficker)
    да... каспер постоянно пишет о нем...

    Добавлено через 2 часа 45 минут

    Но при проверке ничего выявлено не было... Странно

    Добавлено через 1 минуту

    Но при проверке ничего выявлено не было... Странно...
    Последний раз редактировалось Othari666777; 20.11.2010 в 16:12. Причина: Добавлено

  20. #19
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Поставили заплатки? Так же нужно поставить сложные пароли на все учётные записи.

  21. #20
    Junior Member Репутация
    Регистрация
    17.11.2010
    Сообщений
    13
    Вес репутации
    49

  • Уважаемый(ая) Othari666777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. обнаружено вредоносное ПО (заявка №108455)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 29.08.2011, 06:01
    2. обнаружено вредоносное ПО (заявка №108455)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 0
      Последнее сообщение: 29.08.2011, 03:00
    3. обнаружено вредоносное ПО (заявка №68545)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 30.04.2011, 09:00
    4. Обнаружено вредоносное ПО (заявка №38424)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 02.12.2010, 21:00
    5. Обнаружено вредоносное ПО
      От AnnSea в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.02.2010, 22:31

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01434 seconds with 19 queries