Подозрение на вирус [LOG+]

[dimonte]

Добрый день. Подозрение на вирус при вклычении модема компьютер сам подключаеться к интернету.Проверил на вирусы касперский не нашел нечего. Отправленый трафик привышает полученый.

 

Сообщение от модератора wise-wistful

Сообщение выделено из темы "Не могу убрать окно пользователей при включении и выключении".

[ТроПа]

Выполните эти правила, пожалуйста.

[dimonte]

hijackthis.logvirusinfo_syscure.zipwise-wistful правила выполнил логи virusinfo_syscheck.zip Изменено 17 июля, 2009 пользователем dimonte

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Lbd.sys','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe','');
DeleteService('ASKUpgrade');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
BC_DeleteSvc('ASKUpgrade');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем такой скрипт в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.

 

Сделайте новый комплект логов.

[dimonte]

Falkon вvirusinfo_syscure.zipсе выполнил выкладываю логи.virusinfo_syscheck.zip

[ТроПа]

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

[dimonte]

wise-wistful это тоWindows 5.1.2600 Service Pack 3

 

17.07.2009 17:22:51

mbam-log-2009-07-17 (17-22-51).txt

 

Тип проверки: Полная (C:\|D:\|E:\|F:\|G:\|)

Проверено объектов: 170062

Прошло времени: 33 minute(s), 15 second(s)

 

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 0

Заражено параметров реестра: 3

Заражено папок: 0

Заражено файлов: 6

 

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

 

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

 

Заражено ключей реестра:

(Вредоносные программы не обнаружены)

 

Заражено значений реестра:

(Вредоносные программы не обнаружены)

 

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Заражено папок:

(Вредоносные программы не обнаружены)

 

Заражено файлов:

c:\documents and settings\Admin\мои документы\копия\разное\byfly.exe (Spyware.Banker) -> Quarantined and deleted successfully.

c:\program files\WinRAR\Default.SFX (Spyware.Banker) -> Quarantined and deleted successfully.

c:\program files\WinRAR\Def_US.SFX (Spyware.Banker) -> Quarantined and deleted successfully.

c:\WINDOWS\innounp.exe (Malware.Packer) -> Quarantined and deleted successfully.

d:\setup_punto_switcher_30.exe (Spyware.Banker) -> Quarantined and deleted successfully.

e:\setup_punto_switcher_301.exe (Spyware.Banker) -> Quarantined and deleted successfully.

 

 

Falcon ответ из лаборатории в присланом файле нечего вредоносного нет

[thyrex]

Сделайте логи полиморфным AVZ (ссылки в моей подписи). Но маловероятно, что удастся что-либо найти

[dimonte]

thyrex все сделал логи прилагаюvirusinfo_syscure.zip

virusinfo_syscheck.zip

[ТроПа]

Активного заражения в логах нет. Может с настройками подключения что-то меняли?

[dimonte]

Wise-wistful настройки не менял только повторно вводил имя и пароль для входа в интернет( как в самом модеме так и в компьютере).

[ТроПа]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Как использовать ComboFix - how-to-use-combofix

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[dimonte]

ТроПа все выполнилComboFix.rar

[akoK]

MAgent стоит в автозагрузке. Он скорее и стартует сеть.

 

Что с проблемами?

 

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

[dimonte]

akoK скачал запустил нажал. Проблема осталась. Ув хелперы может сбой программного обеспечения модема произашел.