Подозрение на вирус

7 февраля, 2011

Добрый вечер.Пару дней назад при просмотре интернет-страницы выскочил баннер,после его закрытия начал загружаться Java Runtime.Я сразу-же отключился от интернета и завершил процесс в диспетчере задач.Но после этого при нахождении в Mozilla Firefox часто стало появляться окно NOD32 с надписью"адрес заблокирован".Есть подозрение на вирус.Логи прикрепляю.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

7 февраля, 2011

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('WINIO', 4);
SetServiceStart('90627', 4);
StopService('WINIO');
StopService('90627');
QuarantineFile('C:\Program Files\Free-TV\tbFre2.dll','');
QuarantineFile('C:\Program Files\ConduitEngine\ConduitEngine.dll','');
QuarantineFile('C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE','');
QuarantineFile('C:\Program Files\PartyGaming\*.*','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\psc2071\winio.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\UStork.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\MaRdP2K.sys','');
QuarantineFile('C:\WINDOWS\system\906274.exe','');
DeleteFile('C:\WINDOWS\system\906274.exe');
DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\psc2071\winio.sys');
DeleteFile('C:\Program Files\PartyGaming\PartyPoker\RunApp.exe');
DeleteFileMask('C:\Program Files\PartyGaming\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\PartyGaming\',' ');
DelBHO('{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}');
DeleteService('WINIO');
DeleteService('90627');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Free-TV Toolbar - {e41ff70e-a124-4089-a34d-9e7e6af7aa77} - C:\Program Files\Free-TV\tbFre2.dll (file missing)
O3 - Toolbar: Free-TV Toolbar - {e41ff70e-a124-4089-a34d-9e7e6af7aa77} - C:\Program Files\Free-TV\tbFre2.dll (file missing)
O4 - Startup: _uninst_setup_9.0.0.722_08.01.2011_18-38.exe.lnk = C:\WINDOWS\Temp\_uninst_setup_9.0.0.722_08.01.2011_18-38.exe.bat
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O23 - Service: IpSectPro service new (90627) - Unknown owner - C:\WINDOWS\system\906274.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

Рекомендуется удалить ПО, которое может конфликтовать

с установленным Eset Nod32:

- Agnitum Outpost Firewall

Если данные программы были ранее удалены некорректно,

можно воспользоваться специализированными утилитами

по очистке их следов с сайтов производителей данного ПО.

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

Сделайте новые логи по правилам.

Изменено 7 февраля, 2011 пользователем Roman_Five

8 февраля, 2011

Скрипты выполнил.Программы обновил.Прикрепил новые логи.

Пришел ответ от newvirus@kaspersky.com

bcqr00005.dat,

bcqr00006.dat,

bcqr00011.dat,

bcqr00012.dat,

bcqr00013.dat,

bcqr00014.dat,

MaRdP2K.sys,

UStork.sys

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 8 февраля, 2011 пользователем fuvert

8 февраля, 2011

выполните скрипт:

begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(false);
end.

почему игнорируете?

Рекомендуется удалить ПО, которое может конфликтовать
с установленным Eset Nod32:

- Agnitum Outpost Firewall

Если данные программы были ранее удалены некорректно,

можно воспользоваться специализированными утилитами

по очистке их следов с сайтов производителей данного ПО.

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

8 февраля, 2011

Я не игнорирую.

Установил все обновления из списка

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

и из файла avz_log.txt

не установил только Firefox 3.6.3 т.к. пишет,что устарел,но стоит последняя версия.

Также не удалил Agnitum Outpost Firewall т.к. программы нет ни в c:\program files ни в "установка и удаление программ"

Скрипт выполнил.

Изменено 8 февраля, 2011 пользователем fuvert

8 февраля, 2011

Также не удалил Agnitum Outpost Firewal

http://www.agnitum.com/download/support/clean.zip

запустите в безопасном режиме. потом - в обычном.

Я не игнорирую.

а в последних логах было не обновлено...

MSIE: Internet Explorer v7.00 (7.00.6000.21295)

то-нибудь ещё беспокоит?

8 февраля, 2011

Ничего больше не беспокоит.Большое спасибо за предоставленную помощь.

Изменено 8 февраля, 2011 пользователем fuvert

Подозрение на вирус

Рекомендуемые сообщения

fuvert

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

fuvert

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

fuvert

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

fuvert

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum