Перейти к содержанию

Как выявить зловредные программки и файлы?


nitouche

Рекомендуемые сообщения

здравствуйте!

свою проблему я описала здесь http://forum.kasperskyclub.ru/index.php?sh...mp;#entry380277

выполнила то, что порекомендовал Welder1987

вот:

http://www.getsysteminfo.com/read.php?file...9c42e27785792cb

прикрепила зиповский файл

что делать дальше?

GetSystemInfo_USER_ПК_user_2011_03_04_21_32_04.zip

Ссылка на комментарий
Поделиться на другие сайты

вроде выполнила..

 

 

у меня вопрос: я систему восстановления Windows то отключила. Теперь её надо включить?

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

Изменено пользователем nitouche
Ссылка на комментарий
Поделиться на другие сайты

у меня вопрос: я систему восстановления Windows то отключила. Теперь её надо включить?

Как хотите. Вряд ли когда-либо пользовались им. Кто советует включить, но многие специально отключают чтобы экономить место на ЖД например.

Изменено пользователем Xenon
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\TS_6A8D.tmp','');
QuarantineFile('C:\Users\user\AppData\Local\Temp\Temp1_djvureader.zip\djvureader\DjVuReader.exe','');
DeleteFile('C:\Windows\Temp\TS_6A8D.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- Ask Toolbar.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - Sp2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - Sp1x86, Windows 7 x64 - SP1x64

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

- обновить КАВ/KIS до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Обновите базы AVZ!

Сделайте новые логи по правилам.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Спасибо,Roman_Five!

всё сделаю.

хочу спросить: а для чего делают выполнение скрипта в AVZ? он чистит сомнительные файлы?

и вот Вы мне советуете обновить некоторые программы, но у меня из перечисленных вроде бы только Adobe.....насколько я знаю...

 

да, я базы AVZ перед первым сканированием забыла обновить, но перед вторым сделала это. Поэтому, видимо, так долго шло сканирование.

 

А логи сделать заново и снова загрузить сюда?

Изменено пользователем nitouche
Ссылка на комментарий
Поделиться на другие сайты

но у меня из перечисленных вроде бы только Adobe.....насколько я знаю...

нет. у вас точно Adobe Reader, Adobe Player и КАВ

предложен минимальный "джентльменский" набор.

 

нет новых логов.

 

А логи сделать заново и снова загрузить сюда?

да.

 

а для чего делают выполнение скрипта в AVZ? он чистит сомнительные файлы?

карантинит сомнительные и вредоносные и удаляет вредоносные

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

у меня еще вопрос:

я вот делаю запрос в вирусную лабораторию (в процессе).

мне непонятно, где взять пароль на архив virus.

и мне рекомендовано :Перед прикреплением вредоносного объекта добавьте его в архив с паролем virus.

Как это сделать?

Ссылка на комментарий
Поделиться на другие сайты

мне непонятно, где взять пароль на архив virus.

и мне рекомендовано :Перед прикреплением вредоносного объекта добавьте его в архив с паролем virus.

Как это сделать?

всё это уже сделано, если вы выполнили 2-й скрипт AVZ

 

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

 

------------------------------------------

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

смените пароли на WebMoney

Ссылка на комментарий
Поделиться на другие сайты

я скрипты выполнила - несложно. отправила в лабораторию запрос. Пока пришел такой ответ:

bcqr00003.dat,

bcqr00004.dat

 

Вредоносный код в файлах не обнаружен.

 

TS_6A8D.tmp

 

Файл в процессе обработки.

 

С уважением, Лаборатория Касперского

вот.

после всех ссканирований увидела, что мой комп доступен анонимному пользователю! к тому же обнаружила, что был отключен брандмауэр виндоуз. включила. отыскала удаленного помощника отключила эту функцию (снятия флажка достаточно?). Еще увидела две учетные записи... одна юзер, другая администратор. Попыталась изменить, но ничего не вышло - заблокировано! что делать?

про пароли: у меня стояла шпионская программа, которая считывала пароли?я уже на сайтах меняла, еще надо? этой программы уже нет? можно уже успокоиться?

кстати, спасибо также Xenonу и Slash id за помощь :) ( только увидела, что советы от разных людей)

просканировала Malwarebytes' Anti-Malware.

вот все логи:

mbam_log_2011_03_07__18_57_44_.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем nitouche
Ссылка на комментарий
Поделиться на другие сайты

отключите антивирус.

выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

компьютер перезагрузится.

 

деинсталлируйте MBAM.

 

Вы постоянно используете VKSaver?

Если нет, деинсталлируйте.

 

сделайте новые логи AVZ

Ссылка на комментарий
Поделиться на другие сайты

скрипт выполнила.

MBAM деинсталлировала. А вот на VKSaver рука не поднялась.

у меня вот еще какая проблема:

сестра зашла с моего компа в одноклассники и не могла зайти в темы "сообщения","оповещения". остальные функционировали. это блокировка?если да, то что делать?

как мне разблокировать администратора? некоторые службы недоступны для изменения, такие как schedule.

и еще вопрос: мне стоит отключать SSDP?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем nitouche
Ссылка на комментарий
Поделиться на другие сайты

Еще увидела две учетные записи... одна юзер, другая администратор. Попыталась изменить, но ничего не вышло - заблокировано! что делать?
как мне разблокировать администратора?

что изменить? как именно разблокироватьт? подробнее, пожалуйста.

 

не могла зайти в темы "сообщения","оповещения". остальные функционировали. это блокировка?

нет. возможно, блокирует антибаннер антивируса.

 

некоторые службы недоступны для изменения, такие как schedule.

как Вы это определили? в службах?

 

мне стоит отключать SSDP?

а Вы знаете ,что это и зачем? если Ваш компьютер в локальной сети - то не стоит. Если нет - то можно.

 

Вы не воспользовались данными рекомендациями.

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - Sp2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - Sp1x86, Windows 7 x64 - SP1x64

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

- обновить КАВ/KIS до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

по логам -всё чисто.

Ссылка на комментарий
Поделиться на другие сайты

что изменить? как именно разблокироватьт? подробнее, пожалуйста.

панель управления - учетные записи пользователей и семейная безопасность- учетные записи пользователей-изменение типа учетной записи- выбор нового типа учетной записи. Флажок стоит на администраторе. поменять на обычный доступ не могу. флажок не переставляется. А ниже написано, что рекомендуется как раз обычный доступ. Надо что-то менять? дело в том, что я не знаю, как было ДО того, как к компу имели прямой доступ наладчики из интернет-компании.

 

антибаннер антивируса

что это?и что делать в таких случаях?

(я Вас, наверно, уже достала своими вопросами.. :(

 

как Вы это определили? в службах?

да, там. лазила,лазила и набрела. даже уже не помню как...там было окошко: такая-то программа - работает (или пусто)- автоматическое (или вручную)...

и целый столбик программ,служб....

 

Вы не воспользовались данными рекомендациями

один из adobe я обновила. остальные сегодня. Java - мы не играем в игры, она вообще нужна?

про ScanVuln.txt - забыла...сделаю.

Изменено пользователем nitouche
Ссылка на комментарий
Поделиться на другие сайты

Надо что-то менять?

работая под админом нельзя его понизить до обычного пользователя

создайте нового пользователя, понизьте его права и работайте под ним.

и целый столбик программ,служб....

Sheduller (планировщик) нельзя отключить?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Maximus02
      От Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
×
×
  • Создать...