подозрение на вирус

[yuri_st]

virusinfo_syscheck.xml

hijackthis.log

 

virusinfo_syscheck.zip

Изменено 11 сентября, 2011 пользователем yuri_st

[_Strannik_]

yuri_st, нужны ещё логи

 

virusinfo_syscheck.zip

Изменено 11 сентября, 2011 пользователем Stranniky

[Tiare]

yuri_st,

 

Пофиксите в HijackThis следующие строчки.

O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата.

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\Program Files\SGPSA\ie3sh.exe
C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
c:\windows\system32\macromed\flash\flashutil10w_activex.exe

 

 

- обновите Adobe Reader до актуальной версии

 

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

 

 

Почему подозреваете заражение? Какие у вас проблемы?

 

P.S. virusinfo_cure.zip - это карантин, его выкладывать не нужно.

Изменено 11 сентября, 2011 пользователем Tiare

[yuri_st]

пофиксил.

 

результаты вирустотал:

http://www.virustotal.com/file-scan/report...079c-1315782262

первые две строчки для проверки,так и не нашел на компе

 

malwere.txt

затем,найденный один зараженный объект на диске Д был удален.

malwere.txt

Изменено 12 сентября, 2011 пользователем yuri_st

[yuri_st]

- обновите Adobe Reader

обновлен.

 

Почему подозреваете заражение? Какие у вас проблемы?

зависание системы после загрузки и непродолжительной работы.отсутствие подключения к инету.невозможность запуска программ.того же авз4.

в настоящий момент система работает.продолжаю наблюдать,хотя одно зависание было.

Изменено 12 сентября, 2011 пользователем yuri_st

[Tiare]

C:\Program Files\SGPSA - такая папка есть на диске? Известно ее происхождение?

 

 

Этот файл c:\windows\system32\macromed\flash\flashutil10w_activex.exe отправьте на проверку в вирусную лабораторию, предварительно заархивируйте и добавьте пароль на архив "virus". Ссылка

 

 

 

Пофиксите в HijackThis следующие строчки.

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

 

 

+

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

+ Сделайте исследование утилитой GetSystemInfo

 

 

Не обращали внимание, какой процесс грузит систему?

 

 

невозможность запуска программ.того же авз4.

 

Скриншот окна с ошибкой покажите

[yuri_st]

C:\Program Files\SGPSA - такая папка есть на диске? Известно ее происхождение?

такую папку не нашел.

 

Этот файл c:\windows\system32\macromed\flash\flashutil10w_activex.exe отправьте на проверку в вирусную лабораторию

отправил.

 

Пофиксите в HijackThis следующие строчки.

пофиксил.

 

два отчета log.txt и info.txt

log.txt

info.txt

 

+ Сделайте исследование утилитой GetSystemInfo

GetSystemInfo_PC_VAN_250114_250114_2011_09_12_11_45_31.zip

 

Не обращали внимание, какой процесс грузит систему?

нет не обращал внимания.да и система просто зависала и не реагировала на команды.

после кнопки "ресет"ноут загрузился (долго.при этом сам себя тестируя и исправляя),и появилась возможность выполнить авз4

и соответственно выполнить уже логи.

В настоящий момент "полет" вроде нормальный

Изменено 12 сентября, 2011 пользователем yuri_st

[Roman_Five]

пофиксил.

покажите новый лог Hijackthis

 

Ask.com Search Assistant 1.0.2 используете? если нет - деинсталлируйте.

[Tiare]

такую папку не нашел.

Значит зачистим следы.

 

 

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\SGPSA\ie3sh.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FBSSA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
04 - HKLM\..\Run: [FBSSA] C:\Program Files\SGPSA\ie3sh.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

 

 

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

 

Проверьте системный раздел скандиском.

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

Изменено 12 сентября, 2011 пользователем Tiare

[yuri_st]

покажите новый лог Hijackthis

 

hijackthis.log

 

 

 

Ask.com Search Assistant 1.0.2 используете? если нет - деинсталлируйте

удалил.

 

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

выполнил.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

после выполнения скрипта не грузится IE

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

выполнил.

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите

мало чего подключаю к компу.решил не трогать.

 

Обязательно деинсталлируйте MBAM!

удалил.

 

Проверьте системный раздел скандиском.

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

не выполняет команду...

 

в общем не понял.видя что команда chkdsk C: /v /f /r /x не выполняется,просто выключил ноут и опять включил.

комп стал загружаться не как обычно.долго(минут 5) что то проверял в процентах. потом долго(минут 5) шла загрузка оси.

в итоге ось загрузилась и даже IE заработал.

Изменено 13 сентября, 2011 пользователем yuri_st

[thyrex]

общем не понял.видя что команда chkdsk C: /v /f /r /x не выполняется

Так написано ведь, что надо нажать Y, так как по умолчанию система не может заблокировать системный диск, о чем и сообщает и предлагает все сделать после перезагрузки

[yuri_st]

Так написано ведь, что надо нажать Y, так как по умолчанию система не может заблокировать системный диск, о чем и сообщает и предлагает все сделать после перезагрузки

вероятно я неправильно сказал.

нажимаю пуск-все программы-там, в бюро и акссесуары нахожу по картинке значок который запускает команду выполнить.

далее копирую отсюда команду chkdsk C: /v /f /r /x

потом ок.

на экране на долю секунды мелькает маленькое черное окно и пропадает.далее ничего не происходит.

никаких Y или No не появляется

 

Изменено 13 сентября, 2011 пользователем yuri_st

[Roman_Five]

никаких Y или No не появляется

а Вы сделайте так:

 

сначала в строке выполнить наберите cmd

а затем в консоли chkdsk

 

hijackthis.log ( 12.38 кБ ) Кол-во скачиваний: 3

лог Hijackthis старый (до фиксов). нужен новый.

[yuri_st]

лог Hijackthis старый (до фиксов). нужен новый.

 

hijackthis.log

 

сначала в строке выполнить наберите cmd

а затем в консоли chkdsk

 

увы.что-то "Y" не появился

 

 

грубый перевод:заблокирован доступ т.к. не имею права доступа.

странно,вроде отдельно админа нет на компе.... хотя черт его знает...

Изменено 13 сентября, 2011 пользователем yuri_st

[Skarbovoy]

увы.что-то "Y" не появился sad.gif

cmd от админа? UPD вижу, что нет.

Скорее всего это означает - откозано в доступе.

Изменено 13 сентября, 2011 пользователем Skarbovoy