Перейти к содержанию
Правила раздела

Keylogger, обнаружено: IrpTableChanged [OK]

Андрей797979

Автор Андрей797979
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано

AVZPM включен но почему то не работает драйвер...GMER запукается переименованный, но виснет...(4 раза и все намертво)...карантин высылаю

 

интересно, предварительной карнины не видно? есть зловредность во всем эмом или нет?

  • Ответов 42
  • Создана
  • Последний ответ

Топ авторов темы

  • Андрей797979

    17

  • миднайт

    10

  • ТроПа

    9

  • DaTa

    4

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано

карантин отправил на 54712@rambler.ru

 

лог от gmer не получается никак-виснет ВСЕ КОЛОМ ;)

миднайт

миднайт

Опубликовано
Опубликовано

Лог Gmer можно попробовать сделать в безопасном режиме.

Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано

че ни кто не может разгадать ребус................................ ;)

DaTa

DaTa

Опубликовано
Опубликовано
че ни кто не может разгадать ребус................................ ;)

Скачайте Malware Bytes Отсюда . И проведите полное сканирование системы. По окончанию сканирования, удалите все вредоносные обьекты которые будут найдены, а нам пришлите отчет.

Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано (изменено)

я проверял Malwarebytes' Anti-Malware...базы сегодняшние-ни чего нету. Или она может быть повреждена? ;)

 

вот еще логи полученные в безопасном режиме

 

лог от RSIT

 

Скачайте Malware Bytes Отсюда . И проведите полное сканирование системы. По окончанию сканирования, удалите все вредоносные обьекты которые будут найдены, а нам пришлите отчет.

 

Скачал, обновил, проверил-ничего не найдено ;)

 

вот лог от Malwarebytes' Anti-Malware

gmer.log

Vba32ArkitLog.html

log.txt

mbam_log_2009_06_17__21_46_44_.txt

Изменено пользователем Андрей797979
миднайт

миднайт

Опубликовано
Опубликовано (изменено)

Отключите восстановление системы!

 

В HiJackThis пофиксите

 

O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

lsp fix!

O23 - Service: BXLOWU - Broadcom Corporation. - (no file)

O23 - Service: SPM License Server (SPMLM) - Unknown owner - (no file)

 

 

В AVZ выполните скрипт.

 

begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
SetAVZPMStatus(true);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Program Files\ATK Hotkey\ASLDRSrv.exe','');
QuarantineFile('C:\Windows\system32\drivers\63mzvws1.sys','');
QuarantineFile('C:\Windows\system32\F6EB.tmp','');
QuarantineFile('G:\AutoRun.exe','');
QuarantineFile('F:\AutoRun.exe','');
QuarantineFile('C:\Windows\system32\F6EB.tmp','');
QuarantineFile('ASMMAP.sys','');
QuarantineFile('SYBHMU.sys','');
QuarantineFile('SPMLM.sys','');
QuarantineFile('OLKMOXGBYM.sys','');
QuarantineFile('HED.sys','');
QuarantineFile('GYLBGH.sys','');
QuarantineFile('FKCT.sys','');
QuarantineFile('BXLOWU.sys','');
QuarantineFile('ATKGFNEXSrv.sys','');
DeleteFile('C:\Windows\system32\F6EB.tmp');
BC_DeleteSvc('MEMSWEEP2');
BC_ImportAll;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ClearHostsFile;
RebootWindows(true);
end.

 

Компьютер перезагрузится.

Очистить кэш браузеров, временные папки. Скачайте полиморфный AVZ отсюда:

http://rapidshare.com/files/240879548/Special_avz.zip

Повторить логи в AVZ - стандартный скрипт номер 2 и 3.

 

Выполните скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.

 

Так как модераторы молчат залейте карантин и файл boot_clr.log мне на почту.

 

Строгое предупреждение от модератора Falcon
У вас нет прав на запрос карантина, первое устное, убрал адрес.

 

Нужно удалить бунжур. скачайте утилиту http://cexx.org/lspfix.htm перед удалением бунжур. инстуркция по применению утилиты http://www.bleepingcomputer.com/tutorials/tutorial59.html

Как удалить бунжур - Bonjour:

Пуск – Выполнить – cmd

sc stop "Bonjour Service" ВВОД

sc delete "Bonjour Service" ВВОД

Затем запускаем lspfix - «I know what i`m doing…». - Выделяем mdnsnsp.dll и перемещаем его в правую сторону стрелочками

-Finish. Перегружаемся.

 

ps.иду в разрез с правилами по поводу пересылки карантина , так как не являюсь официальным консультантом )).

Изменено пользователем Falcon
Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано (изменено)

спасибо огромное! я уж думал тута ни кто не врубается откуда ветер дует. ;)

 

кстати-восстановление систем- отключал.

 

как я понял, на мыло кинуть карантин2, а вот файл boot_clr.log где взять?

 

новые логи полиморфного AVZ

 

по скрипту:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');

end.

Карантин2-пустой.........

 

мой ICQ 282305106. Кстати каспер постоянно ругается на этот IrpTableChanged

 

У вас нет прав на запрос карантина, первое устное

интересная политика форума. второй день никто не дал дельного совета, а строгочи выписываем не задумываясь :) bravo

Строгое предупреждение от модератора Falcon
Пункт 7 правил прочитайте повнимательнее. Пока устное.

 

и как быть? каспер ругается, что подсказали-выполнил(не помогло) может че нить установить потив этого шпиона?

Подскажите отукда скачать, а то скачиваю-все платные, кряков нет

 

 

поставил Advanced Anti Keylogger триал версию, перзагрузился-не запускается. Тачпэд перестал работать, тока через мышку :) кроме как смеяться, ни че не остается.......

virusinfo_syscure.zip

Изменено пользователем Falcon
миднайт

миднайт

Опубликовано
Опубликовано

Модератор прав. Я же нарушил правило ). Посмотрю лог через час. А может ктото до меня подскажет...

ТроПа

ТроПа

Опубликовано
Опубликовано

Никак не пойму симантек работает или нет?

DaTa

DaTa

Опубликовано
Опубликовано (изменено)

У вас в логе АВЗ все еще есть странности. Почему то очень много *.ax файлов которые запускаются из вашей папки. Для начала попробуйте создать нового юзверя с правами администратора, а старого удалите. Если у Вас хрюша то после удаления юзверя с консоли mmc (команда запускающая оснастку "Пользователи и групы" - lusrmgr.msc, если у вас домен контроллер ;) то воспользуйтесь командой dsa.msc) удалите папку Z:\Documents and Settings\%USERPROFILE%, где Z: буква диска с установленой ОС(С: в большинстве случаев), %USERPROFILE% - имья вашего старого пользователя.

Если у Вас Windows Longhorn(Windows Vista Inspirat) или Windows 7 то удалять следует папку: Z:\Users\%USERPROFILE%

Удаление следует делать уже с новосозданного юзверя!

Скачайте програму ATF Cleaner и при ее помощи почистите все временные файлы системы! И зделайте новые логи.

Изменено пользователем DaTa
Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано

вроде все сделал как сказали

вот логи AVZ и hijackthis

;)

 

для чистки применил CCleaner

 

запустил демо версию Anti-Spy.Info, сделал скриншот(может пригодиться)

virusinfo_syscure.zip

hijackthis.log

post-9814-1245320056_thumb.jpg

миднайт

миднайт

Опубликовано
Опубликовано (изменено)

Кстати о битности. надеюсь операционка не 64 битная?. Если 64 бита - то AVZ бессилен.

Строчки HiJackThis? которые я указал в посте выши фиксились?

Программы запускались по правому щелчку мышью - Run As (запустить от имени)- от админа?

зы. совет от DaTa в посте #27 бы выполнен?

Изменено пользователем миднайт
Андрей797979

Андрей797979

Опубликовано
  • Автор
Опубликовано (изменено)

операционка 32, строчки профиксились, запуски только от админ. восстановл. сист. отключенно.............

в нэте нашел похожую тему http://www.securitylab.ru/forum/forum18/topic48131/

Изменено пользователем Андрей797979

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Enei
      Обнаружил Trojan.Agent
      Автор Enei
      Помогите пожалуйста. На пк обнаружил вирус. Касперский не устанавливается, ошибка с синим экраном. Dr. Web видит, но не удаляет. Утилита AdwCleaner удалила некоторые, но не все. Она видит два файла: 1)С\Windows\System32\drivers\WinmonProcessMonitor.sys. (файл)   2) C\Windows\rss (папка). Пишет, что перемещены в карантин, но удалить не могу.
    • foroven
      Обнаружена сетевая атака
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • Vlad Kirsanov
      Майнер на компьютере обнаружен
      Автор Vlad Kirsanov
      Я обнаружил майнер который блокирует ссылки под неким Google DNS, я скину log из программы AVBr, мне нужно помощь с удалением вирусом вот log с программы AVBR
      AV_block_remove_2025.03.17-14.55.log
    • Shizgael
      обнаружен Trojan:Win64/DisguisedXMRigMiner
      Автор Shizgael
      microsoft security essential в автономном режиме находит но недолечивает после перезагрузки все возвращается обратно
      + видоизменяет хост добавляя в него все сайты антивирусов с нулевыми IP 
      file: C:\Program Files\Google\Chrome\updater.exe
      file: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC->(UTF-16LE)
      taskscheduler: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC
       
       
       
    • OneZero
      [РЕШЕНО] обнаружил NET.MALWARE.URL
      Автор OneZero
      Добрый день. Скачивал торрент файл и поймал какую - то ерунду которая значительно снизила работоспособность ноутбука. Использую DAW на протяжении года и при небольшой нагрузки в ПО начинаются резкие спады после которых невозможно пользоваться программой. Причем появилась эта проблема буквально дня 3 назад. Буду признателен, если вы сможете помочь избавиться от этого трояна.
      Лог прикрепляю в раре. 

      log.rar
×
×
  • Создать...