Паолина 7 Опубликовано 23 декабря, 2010 Share Опубликовано 23 декабря, 2010 Добрый вечер, Есть подозрение на вирус. Основная причина: исчезли абсолютно все файлы из одной папки на рабочем столе (разветвленная внутренняя структура папок осталась): однако виста-поиск их видит. Предыдущая симптоматика: месяца два назад система начала тормозить (долго открывался браузер и программы), помогло восстановление системы. KIS никогда особенно не тревожился, за исключением одного раза перед началом торможения (подключилась к интернету в китайском отеле и тут же вылетели базы Касперского, помогло восстановление программы). Несколько раз не запускался Windows (тоже помогло восстановление системы); был период когда было не выключить компьютер (вместо этого перезагружался как после ошибки), сейчас странные сообщения при запуске (какие-то службы не могут запуститься). Других проблем на данный момент вспомнить не могу. Прошу извинить если обратилась не по адресу. Не знаю как восстановить файлы и куда они вообще делись. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 декабря, 2010 Share Опубликовано 23 декабря, 2010 Прошу извинить если обратилась не по адресу. Не знаю как восстановить файлы и куда они вообще делись. по адресу. 1. а зачем было делать логи ив безопасном режиме и с помощью полиморфной AVZ? сделайте логи в обычном режиме (не в режиме защиты от сбоев) и обычной AVZ (не забудьте обновить базы AVZ перед этим). 2. проверьте на virustotal.com файл C:\Program Files\DivX\Symantec\scstubinstaller.exe ссылку на результат сообщите. ждём новых логов Цитата Ссылка на сообщение Поделиться на другие сайты
Паолина 7 Опубликовано 23 декабря, 2010 Автор Share Опубликовано 23 декабря, 2010 по адресу.1. а зачем было делать логи ив безопасном режиме и с помощью полиморфной AVZ? сделайте логи в обычном режиме (не в режиме защиты от сбоев) и обычной AVZ (не забудьте обновить базы AVZ перед этим). 2. проверьте на virustotal.com файл C:\Program Files\DivX\Symantec\scstubinstaller.exe ссылку на результат сообщите. ждём новых логов 1. Новые логи сделала. Дело в том, что AVZ стабильно зависала на одном из не особенно нужных файлов (копия обыкновенного письма из Outlook Express-а), но я только к ночи разобралась, что дело не в программе и не в режиме, а в этом файле, который я решила удалить; а нормальный AVZ решила не запускать, думая, что разницы нет. 2. Мне очень неудобно, но я не могу найти ни этот файл, ни папку Symantec, да и папки DivX в Program Files вообще нет (есть в других местах, но всё равно без Symantec-а). Попробовала найти расширенным вистовским поиском (и файл, и папку), безуспешно. Как ещё можно его вытащить? virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 декабря, 2010 Share Опубликовано 23 декабря, 2010 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Windows\tasks\Install_NSS.job',''); QuarantineFile('C:\Program Files\Trusteer\Rapport\bin\rooksbas.dll',''); QuarantineFile('C:\ProgramData\Trusteer\Rapport\store\exts\RapportCerberus\19917\RapportCerberus_19917.sys',''); QuarantineFile('C:\Program Files\DivX\Symantec\scstubinstaller.exe',''); QuarantineFile('C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL',''); QuarantineFile('C:\Windows\system32\DRIVERS\UIUSYS.SYS',''); QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkfwd.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkflt.sys',''); QuarantineFile('C:\Windows\system32\drivers\RapportBuka.sys',''); QuarantineFile('C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\ipinip.sys',''); QuarantineFile('C:\Windows\System32\hpfll70v.dll',''); QuarantineFile('C:\Program Files\Trusteer\Rapport\bin\js32.dll',''); DeleteFile('C:\Windows\tasks\Install_NSS.job'); DeleteFile('C:\Program Files\DivX\Symantec\scstubinstaller.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Выполните рекомендации из этой темы: http://virusinfo.info/showthread.php?t=3519 Ссылку на Ваше сообщение в ТОЙ теме сообщите ЗДЕСЬ. После проведённого лечения рекомендуется установить следующие обновления: - все обновления на Windows Vista (пуск - программы - центр обновления Windows) - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. После ответа из вирлаба сделайте новые логи по правилам. сейчас странные сообщения при запуске (какие-то службы не могут запуститься) приложите скриншот такой ошибки. однако виста-поиск их видит тоталкоммандером пользуетесь? при включённом отображении скрытых файлов в нём файлы отображаются? Изменено 23 декабря, 2010 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Паолина 7 Опубликовано 23 декабря, 2010 Автор Share Опубликовано 23 декабря, 2010 Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пришел такой e-mail: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. bcqr00003.dat, bcqr00004.dat, bcqr00005.dat, bcqr00006.dat, bcqr00019.dat, bcqr00020.dat, bcqr00023.dat, bcqr00024.dat, bcqr00025.dat, bcqr00026.dat, hpfll70v.dll, Install_NSS.job, js32.dll, RapportPG.sys, rooksbas.dll Файлы в процессе обработки. bcqr00017.dat, bcqr00018.dat, RapportBuka.sys Вредоносный код в файлах не обнаружен. Выполните рекомендации из этой темы:http://virusinfo.info/showthread.php?t=3519 Ссылку на Ваше сообщение в ТОЙ теме сообщите ЗДЕСЬ. Вот ссылка на моё сообщение там: http://virusinfo.info/showpost.php?p=74869...;postcount=9585 После проведённого лечения рекомендуется установить следующие обновления:- все обновления на Windows Vista (пуск - программы - центр обновления Windows) - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии Виста обновлена, Java обновила, Reader-ом не пользуюсь а также:- откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Одна была, поправила После ответа из вирлаба сделайте новые логи по правилам. Процитированное автоматическое письмо уже считается ответом? приложите скриншот такой ошибки.тоталкоммандером пользуетесь? при включённом отображении скрытых файлов в нём файлы отображаются? Вот тут самое интересное. Ошибки при запуске исчезли бесследно, а пропавшие файлы нашлись в одной из вложенных папок на том же рабочем столе. Каким образом они там оказались и как мог остаться на прежнем месте папочный "скелет" - загадка. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 декабря, 2010 Share Опубликовано 23 декабря, 2010 Reader-ом не пользуюсь тогда деинсталлируйте. у Вас установлена старая версия. Каким образом они там оказались вариантов много: дети, случай, хорошая вечеринка, ... уже считается ответом? да. потом придёт повторное письмо на те файлы, что в обработке. если там вдруг что найдётся, сообщите в этой теме. сделайте контрольный набор логов. Цитата Ссылка на сообщение Поделиться на другие сайты
Паолина 7 Опубликовано 23 декабря, 2010 Автор Share Опубликовано 23 декабря, 2010 сделайте контрольный набор логов. Сделала тогда деинсталлируйте. у Вас установлена старая версия. Вообще его не нашла в системе. Установлен Acrobat - это он же? 8.2 это уже старый? Обновляться автоматически он не хочет. вариантов много: дети, случай, хорошая вечеринка, ... В обратном порядке эти варианты действительно бывают. Но здесь, похоже, чисто женская ловкость. Мне ужасно неловко, что я вас подняла на уши фактически без повода! Надеюсь, что проведённая профилактика убережёт от каких-нибудь будущих проблем. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 декабря, 2010 Share Опубликовано 23 декабря, 2010 Установлен Acrobat - это он же? 8.2 это уже старый? он. удаляйте или обновляйте, скачав с сайта. В обратном порядке эти варианты действительно бывают. :) в логах чисто. Цитата Ссылка на сообщение Поделиться на другие сайты
Паолина 7 Опубликовано 23 декабря, 2010 Автор Share Опубликовано 23 декабря, 2010 он. удаляйте или обновляйте, скачав с сайта. ОК, сделала. в логах чисто. Ура! Огромнейшее вам спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.