Перейти к содержанию

Пожалуйста, проверьте логи


Рекомендуемые сообщения

Подозреваю, что моя машина заражена какой-то дрянью: при быстрой проверке сканером Dr. web cureit, он закрывается, и пишет, что память не может быть written. Потом появляется сообщение, что он обнаружил вирусы, и после нажатия ОК на сообщении об ошибке сканер закрывается. На всякий случай попробовал провериться в безопасном режиме: cureit ничего не нашел. Полностью проверился сканером Dr. Web Live CD, он нашел какой-то зараженный файл, но, видимо, так его и не удалил, раз простой сканер продолжает сообщать, что нашел вирусы. Когда попытался откатить систему, оказалось, что точек восстановления всего 2, за 10 и 9 июля. И все. В соответствии с правилами раздела, отключил восстановление системы, и создал логи. В качестве основного антивируса стоял MSE, также я поставил КИСу, демо. Но при быстрой проверке он, в отличие от Др. Веба, ничего не нашел. Если нужно будет прикрепить еще какие-либо файлы, или логи, или выполнить какие-то доп. действия, то не проблема.

 

Очень прошу, проверьте! Это моя рабочая машина, с лиц. виндой, и кучей ценных файлов. Мне не хотелось бы "подарить" кому-то свои персональные данные...

 

Заранее спасибо!

Логи.rar

Ссылка на сообщение
Поделиться на другие сайты

Выполните рекомендации из этой темы:

http://virusinfo.info/showthread.php?t=3519

Ссылку на Ваше сообщение в ТОЙ теме сообщите ЗДЕСЬ.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ClearQuarantine;
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Users\Mega\AppData\Local\Temp\eTG17o12.sys','');
BC_QrFile('C:\Users\Mega\AppData\Local\Temp\eTG17o12.sys');
BC_QrFile('F:\autorun.inf');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

На ресурсе http://virusinfo.info/showthread.php?t=3519 судя по "приветственному сообщению", проводятся технические работы, поэтому я не могу увидеть приведенные там советы.

Карантин AVZ я отправил в лабораторию.

Отчет антишпионской программы я прикрепил. Сразу же нажал удалить все объекты. Кстати говоря, эта программа единственная смогла "увидеть" гадов и обезвредить их. Однако, Dr. web cureit после удаления вредоносов Malwarebytes' Anti-Malware по прежнему отказывается проверить систему, выдавая то же самое сообщение "память не может быть written". Т.е. такое ощущение, что что-то в системе еще осталось. На всякий случай я запустил Malwarebytes' Anti-Malware еще раз - потом отпишусь, что там прога нашла после 2 круга. Такой вопрос: теперь мне придется менять пароли от всех служб, которыми я пользовался последние дни (такие как почта, Стим и разные форумы, включая этот)? Есть ли еще какой-то способ удостовериться, что система полностью очищена от зловредов? А то набирать на каком-то ресурсе пароль с логином уже страшно... Когда я смогу включить восстановление системы?

 

Проверил еще раз Malwarebytes' Anti-Malware, пишет, что ничего нет. Сureit не запускается. Видимо, что-то еще осталось из вредоносов...

mbam_log_2011_07_11__00_23_48_.txt

post-22181-1310326624_thumb.png

post-22181-1310326630_thumb.png

Изменено пользователем avb
Ссылка на сообщение
Поделиться на другие сайты

пробуйте снова создать автокарантин и отправить - "ремонтные работы" окончены. у Вас семёрка уж очень сборка - где такую нашли?

 

выполните рекомендации по стандартной оптимизации системы:

1) Проверьте системный раздел скандиском.

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

2) Проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить-sfc /scannow

3) Установите все обновления (может потребоваться активация).

 

деинсталлируйте MBAM

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на сообщение
Поделиться на другие сайты
пробуйте снова создать автокарантин и отправить - "ремонтные работы" окончены. у Вас семёрка уж очень сборка - где такую нашли?

 

Забавный вопрос. Это лицензионная Windows 7 Максимальная, купленная в Софткее за 9.5к. Винду нашел в фирменной коробке МС.

 

выполните рекомендации по стандартной оптимизации системы:

1) Проверьте системный раздел скандиском.

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

2) Проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить-sfc /scannow

3) Установите все обновления (может потребоваться активация).

 

Все обновления, включая СП 1 установлены.

При выполнении скандиска и второй команды, появляется на пару секунд темный экран командной строки и тут же исчезает. При этом ничего не происходит.

 

Combofix при запуске пишет, что у меня активен антишпионский модуль МSЕ, хотя я убрал МSЕ из автозапуска. Как полностью отключить, не знаю. Проверку эта программа провела, но т.к. что-то от МSЕ осталось включенным, наверное нужно проверить с отключенным полностью антивирусом?

Изменено пользователем avb
Ссылка на сообщение
Поделиться на другие сайты
Забавный вопрос.

ради прикола и разрешения забавности - сделаю такой же стандартный скрипт у себя. у меня тоже x64

 

При этом ничего не происходит.

а так?

Win+R

cmd

sfc /scannow

 

у меня активен антишпионский модуль МSЕ

если надо удалить полностью:

http://support.microsoft.com/kb/2435760

 

Проверку эта программа провела, но т.к. что-то от МSЕ осталось включенным, наверное нужно проверить с отключенным полностью антивирусом?

можно для начала и так. прикладывайте

Ссылка на сообщение
Поделиться на другие сайты
а так?

Командная строка появляется, но там какие-то крякозябры... Ввожу команду и ничего не происходит.

 

ради прикола и разрешения забавности

 

А что такого странного в моей сборке? Спрашиваю чисто из интереса: что в лицензионной Винде может смущать? ;)

post-22181-1310403624_thumb.png

ComboFix.txt

Изменено пользователем avb
Ссылка на сообщение
Поделиться на другие сайты
А что такого странного в моей сборке? Спрашиваю чисто из интереса:

очень много файлов, не прошедших у AVZ по базе безопасных.

Ввожу команду и ничего не происходит.

по скрину видно, Вы вводили Y

а если sfc /scannow - что пишет?

 

Деинсталлируйте ComboFix:

- нажмите Win+R

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Деисталлируйте MBAM и отправьте автокарантин

Изменено пользователем Roman_Five
Ссылка на сообщение
Поделиться на другие сайты
а если sfc /scannow - что пишет?

Что пишет, показал на скриншоте. Хотя бы крякозябры убрались, хоть по-русски все стало, и то радует. ;)

ComboFix и MBAM я удалил.

 

Выполняю 4-й скрипт в avz и он очень часто выдает "Карантин с использованием прямого чтения - ошибка". Получилась какая-то папка карантин. Когда запаковываю ее содержимое и в архиве пытаюсь загрузить на сервер, то появляется сообщение, что "Загруженный архив не является карантином avz". Я что-то неправильно делаю?

И такой вопрос: может мне проще переставить винду полностью, а потом снова выложить логи? Так наверно проще будет... И еще: у меня внешний жесткий диск защищен битлокером. На нем только фильмы, музыка, и несколько программ. Я снимаю блокировку и смотрю с него фильмы иногда или добавляю\удаляю файлы. Туда могли попасть вирусы? Еще есть 2 внутренних винта: один на котором сама винда и диск поменьше, там муза. На этом жестком диске тоже могут быть вирусы?

Запустил проверку всех 3-х жестких дисков avz-ом. Для меня будет просто катастрофа, если придется форматировать шифрованный винт - на нем столько нужных мне файлов...

post-22181-1310444811_thumb.png

Изменено пользователем avb
Ссылка на сообщение
Поделиться на другие сайты
Что пишет, показал на скриншоте.

ясно. запустите консоль от имени администратора:

win - найти программы и файлы - введите cmd - вверху правый клик по cmd "запустить от имени администратора".

повторите sfc /scannow

Я что-то неправильно делаю?

угу. там должен быть файл virusinfo_files_<имя_ПК>.zip

В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip

Для меня будет просто катастрофа, если придется форматировать шифрованный винт

ничего не нужно форматировать. вы когда проверяли PC MBAM - эти диски подключали?

может мне проще переставить винду полностью

зачем?

каксейчас ведёт себя Dr. web cureit?

очень часто выдает "Карантин с использованием прямого чтения - ошибка".

это нормально.

сделайте контрольные логи по правилам.

 

И покажите, пожалуйста, содержимое диска F в проводнике (перечень папок). Там у вас хитрый файлик был в корне.

Ссылка на сообщение
Поделиться на другие сайты

Карантин весом 20 мб отправил. Вот ссылка на мой пост http://virusinfo.info/showthread.php?t=351...8575#post808575

Диски при сканировании подключал. Выбирал полное сканирование, после 1 прохода она ничего не нашла. Это значит, что все диски в безопасности? Скандиск написал, что нарушений целостности нет.

Др. Веб по прежнему ругается.

Кстати на счет "хитрого файлика" - откуда там autorun.inf, я не знаю. На диске D появилась странная неудаляемая папка Boot и $RECYCLE.BIN. Что это?

post-22181-1310451925_thumb.png

post-22181-1310452433_thumb.png

Изменено пользователем avb
Ссылка на сообщение
Поделиться на другие сайты
откуда там autorun.inf, я не знаю.

а что внутри?

папка Celtiс Ваша?

 

Это значит, что все диски в безопасности?

вполне.

Др. Веб по прежнему ругается.

возможно, баг сканера...

 

странная неудаляемая папка Boot и $RECYCLE.BIN. Что это?

не надо их удалять. это от Windows

 

сделайте ещё для контроля лог GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Ссылка на сообщение
Поделиться на другие сайты

[autorun]

ICON = APPInst.exe, 1

OPEN = APPInst.exe

ACTION = "Install Samsung Tools"

 

Самсунговая утилита какая-то походу. Вроде безопасно. Celtic да, моя. Там ничего кроме музыки нет. Специально проверил.

 

Однако винду я все-таки снесу. Считаю плохо, когда работаешь в среде, где побывали вирусы. Тогда и сделаю avz-ом еще раз логи и все будет я надеюсь, в порядке. Подтвердите мне главное, что винты без вирусов.

GetSystemInfo_MEGA_ПК_Mega_2011_07_12_12_47_45.zip

Изменено пользователем avb
Ссылка на сообщение
Поделиться на другие сайты
Однако винду я все-таки снесу.

не надо! это лишняя трата времени.

 

Подтвердите мне главное, что винты без вирусов.

Вы можете их сами проверить любым антивирусом - либо Kaspersky Virus Removal Tool 2011

http://support.kaspersky.ru/avptool2011/all?qid=208640436

либо Dr.Web CureIt!

https://www.freedrweb.com/download+cureit+free/?lng=ru

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

 

У вас сейчас основной антивирус Norton Internet Security?

деинсталлируйте Malwarebytes' Anti-Malware, версия 1.51.0.1200

 

 

 

сделайте контрольные логи по правилам.
Ссылка на сообщение
Поделиться на другие сайты
У вас сейчас основной антивирус Norton Internet Security?

 

Я его сразу же удалил вместе с MBAM, ставил просто все проверить.

 

 

 

не надо! это лишняя трата времени.

 

Ого! А вот такое слышу в первый раз. Обычно после вирусной атаки советуют переставить Винду. А Вы почему-то советуете наоборот... :facepalm:

Desktop.rar

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...