skyline 0 Опубликовано 9 марта, 2011 Share Опубликовано 9 марта, 2011 Недавно появилось подозрение на вирусы, при проверке моим антивирусником (стоит Dr.Web лиценз.) - ничего не выявляет, хотя подозрение всеже есть. Сделал проверку вашими програмками, прикрепляю логи... virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 9 марта, 2011 Share Опубликовано 9 марта, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('C:\Program Files\VPets\VPets.exe'); TerminateProcessByName('C:\Program Files\pchd\PCHDPlayer.exe'); QuarantineFile('C:\WINDOWS\TBPanel.exe',''); DeleteFileMask('C:\Program Files\VPets\','*.* ',true,' '); DeleteDirectory('C:\Program Files\VPets\',' '); DeleteFileMask('C:\Program Files\pchd\','*.* ',true,' '); DeleteDirectory('C:\Program Files\pchd\',' '); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer'); BC_ImportQuarantineList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой: - Ask Toolbar. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Foxit Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe После проведённого лечения рекомендуется установить следующие обновления: - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - все обновления на Windows (может потребоваться активация Windows) - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии - обновить Adobe Shockwave Player до актуальной версии - обновить Adobe Flash Player до актуальной версии - обновить QuickTime Player до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Сделайте новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
skyline 0 Опубликовано 10 марта, 2011 Автор Share Опубликовано 10 марта, 2011 (изменено) Предложенные вами скрипты выполнил, ответ из лаборатории еще ожидаю... Также все нижеперечисленные пункты выполнил, вконце проверил компьютер Malwarebytes' Anti-Malware , инифицированные обьекты удалил, сохранив перед этим лог, который прикрепляю ниже... Хотелось бы также рассказать о некоторых странностях, которые я начал замечать. перед тем, как заподозрил компьютер на наличие вирусов: иногда при попытке зайти в оперу, вылетает сообщение , что она уже якобы запущена, и занята другим приложением, открывая процессы на Alt+Ctrl+Delete я нахожу, что действительно опера уже какбы работает, хотя открытых окон нету - тогда получается запустить браузер только после принудительного завершения процесса opera.exe... Также при завершении работы компьютера иногда выскакивают какието ошибки с единственной кнопкой - "Ок", вроде чтото типо "память обратилась к памяти..." (точно не помню мб и не это вовсе), также при выключении компьютера иногда не выключается кулер, т.е. компьютер выключается, а кулер продолжает гудеть - работать (мб это вообще не связано с вирусами конечно, просьба не смеяться если что, просто описываю все, что вспоминаю странного за своим компом...))) ---------------------------- Сейчас вообще внезапно на 1сек. вылетел синий экран, и компьютер сам перезагрузился, после перезагрузки вылетело сообщение об отправке отчета об ошибке, подпись ошибки, если это поможет, там была такая:BCCode : 10000050 BCP1 : E4351000 BCP2 : 00000000 BCP3 : B631DD9E BCP4 : 00000001 OSVer : 5_1_2600 SP : 3_0 Product : 256_1 , технические сведенья об отчете такие: C:\DOCUME~1\SkylinE\LOCALS~1\Temp\WER7aaa.dir00\Mini031011-01.dmp C:\DOCUME~1\SkylinE\LOCALS~1\Temp\WER7aaa.dir00\sysdata.xml , осталось неприятное ощущение от такой неожиданности.. mbam_log_2011_03_10__14_02_26_.txt Изменено 10 марта, 2011 пользователем skyline Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 марта, 2011 Share Опубликовано 10 марта, 2011 иногда при попытке зайти в оперу, вылетает сообщение , что она уже якобы запущена не выгрузилась из памяти при прошлом запуске. в MBAM нужно было удалять это (по логу не видно, что вы удаляли): Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken. Заражённые папки: c:\documents and settings\SkylinE\application data\winxrar (Trojan.Agent) -> No action taken. Заражённые файлы: c:\documents and settings\SkylinE\application data\winxrar\after.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\dir.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\key (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\logo.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\rules.css (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\sview (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\winxrar.exe (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\winxrarview.exe (Trojan.Agent) -> No action taken. c:\documents and settings\SkylinE\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken. Сделайте новые логи по правилам. забыли? Цитата Ссылка на сообщение Поделиться на другие сайты
skyline 0 Опубликовано 11 марта, 2011 Автор Share Опубликовано 11 марта, 2011 В MBAM зашел, удалил все обьекты, находящиеся там в карантине, затем еще раз проверил им систему и опять удалил все обнаруженные обьекты (нашлось 2), отчет прикрепляю ниже. Также после всех этих действий сделал новые логи по правилам, их тоже прикрепляю. Ответа на почту из лаборатории чтото пока небыло..( mbam_log_2011_03_11__18_02_32_.txt hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 11 марта, 2011 Share Опубликовано 11 марта, 2011 деинсталлируйте MBAM. выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe'); DeleteFile('C:\Windows\tasks\Scheduled Update for Ask Toolbar.job'); DeleteFileMask('C:\Program Files\Ask.com\','*.* ',true ,' '); DeleteDirectory('C:\Program Files\Ask.com\',' '); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. перезагрузка! для контроля выполните 2 стандартный скрипт в AVZ. полученный лог virusinfo_syscheck.zip приложите. Цитата Ссылка на сообщение Поделиться на другие сайты
skyline 0 Опубликовано 11 марта, 2011 Автор Share Опубликовано 11 марта, 2011 MBAM деинсталировал, предложенные скрипты выполнил, выкладываю полученный лог... virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 11 марта, 2011 Share Опубликовано 11 марта, 2011 всё чисто Цитата Ссылка на сообщение Поделиться на другие сайты
skyline 0 Опубликовано 12 марта, 2011 Автор Share Опубликовано 12 марта, 2011 всё чисто Спасиб за помощь..))очень благодарен) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.