rotor 0 Опубликовано 22 сентября, 2011 Share Опубликовано 22 сентября, 2011 Здравствуйте.Мне кажется,что комп заражён,но кристалл ни чего не видит.Помогите разобраться. http://www.getsysteminfo.com/read.php?file...fb89e82fdd5899b Заранее благодарен. hijackthis.log GetSystemInfo_АНДРЕЙ_ПК_Андрей_2011_09_22_15_59_43.zip virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 22 сентября, 2011 Share Опубликовано 22 сентября, 2011 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Users\Андрей\Мои документы\ДАНИЛА\Новая папка\ExtData\Civilization 4\Civ4Loader.exe',''); QuarantineFile('C:\Windows\system32\RussianA.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте при помощи этой формы Почему вам кажется, что компьютер заражен? Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 22 сентября, 2011 Share Опубликовано 22 сентября, 2011 (изменено) rotor, + к вышесказанному скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Пофиксите в HijackThis следующие строчки. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://deposit.poisk-stuffmany.ru/?wkey=591045 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deposit.poisk-stuffmany.ru/?wkey=591045 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. + Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. -Установите Internet Explorer 9 (даже если им не пользуетесь) - обновите Adobe Reader до актуальной версии Проверьте системный раздел скандиском. пуск - выполнить - cmd - вбить chkdsk C: /v /f /r /x нажать Y Перезагрузиться, подождать. (запускать от имени администратора) Изменено 22 сентября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
rotor 0 Опубликовано 22 сентября, 2011 Автор Share Опубликовано 22 сентября, 2011 У меня возникли подозрения т.к. 1 кто -то входил в мою почту с другого компьютера, 2 сегодня кристалл поймал вирус и поместил его на карантин, но в то же время пишет ,что поместить вирус на карантин нельзя, 3 в браузере всё время пытается установиться какая-то стартовая страница которую всё время убираю Ваши рекомендации выполнил по мере возможности.AVZ карантин отправил.Остальное, что получилось прикрепил. Не удалось профиксить в HijackThis.Результаты нового сканирования прилагаются. Не нашёл скандиск в W7. mbam_log_2011_09_22__20_33_09_.txt info.txt log.txt hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 22 сентября, 2011 Share Опубликовано 22 сентября, 2011 (изменено) Не нашёл скандиск в W7. попробуйте так Отчет Касперского покажите, где пойман ваш зловред. Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. c:\Users\Андрей\downloads\vsignale_m1_lot.exe c:\Users\Андрей\downloads\vsignale_trader_1.0.exe Если ответ по отправленному карантину не пришел, то проверьте эти файлы тоже C:\Windows\system32\RussianA.dll C:\Users\Андрей\Мои документы\ДАНИЛА\Новая папка\ExtData\Civilization 4\Civ4Loader.exe Происхождение данной папки c:\Users\Андрей\AppData\Roaming\samson знакомо? Что в ней? Откуда это D:\Setup.exe вам известно? Находится здесь msconfig\startupreg\zzzHPSETUP P.S. Найденное в MBAM пока не удаляем, ждем результата проверки на вирустотале. Изменено 22 сентября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
rotor 0 Опубликовано 23 сентября, 2011 Автор Share Опубликовано 23 сентября, 2011 Пробовал сканировать, ответ - невозможно выполнить команду т.к. указанный том используется другим процессом. Virustotal:http://www.virustotal.com/file-scan/report.html?id=fe1fb3794fc9114d13d027f1328df635f4115054bed16fb401ca79b29f8b7ff2-1316751738 http://www.virustotal.com/file-scan/report...df18-1316751912 http://www.virustotal.com/file-scan/report...5a55-1316752551 http://www.virustotal.com/file-scan/report...e4a0-1316753161 В папке c:\Users\Андрей\AppData\Roaming\samson находятся 20 картинок в виде активных иконок.Найти этот файл можно только поисковиком.Если искать по маршруту,то в папке Андрей нет папки AppData Что такое D:\Setup.exe не знаю,т.к. D - это дисковод , который в момент проверки был пустым.Поисковик данный файл не нашёл. Зловред на карантине. Подскажите в каком виде и как показать отчёт Касперского. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 23 сентября, 2011 Share Опубликовано 23 сентября, 2011 Зловред на карантине. Подскажите в каком виде и как показать отчёт Касперского. Откройте отчет, выберите "Сохранить", сохраните на рабочий стол, например. Текстовой файл прикрепите к вашему ответу. Или сделайте скриншот этого окна , так, чтобы было полностью видно месторасположение файла и его название. Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 23 сентября, 2011 Share Опубликовано 23 сентября, 2011 Карантин чист. Цитата Ссылка на сообщение Поделиться на другие сайты
rotor 0 Опубликовано 23 сентября, 2011 Автор Share Опубликовано 23 сентября, 2011 Сделал Не цепляется отчёт к сообщению. А кнопку для скриншотa на яблочной клавиатуре не найду. C/User/Aндрей/Downloads/Venta Fax & Vois Private 6.3.102.288_212-.zip.exe -этот файл был помещён вчера на карантин Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 23 сентября, 2011 Share Опубликовано 23 сентября, 2011 (изменено) C/User/Aндрей/Downloads/Venta Fax & Vois Private 6.3.102.288_212-.zip.exe -этот файл был помещён вчера на карантин Пока файл находится на карантине - он не опасен. Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\Users\Андрей\AppData\Roaming\samson\winzipv.exe',' '); QuarantineFile('D:\Setup.exe',' '); DeleteFile('c:\Users\Андрей\AppData\Roaming\samson\winzipv.exe'); DeleteFile('D:\Setup.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\microsoft\shared tools\msconfig\startupreg','zzzHPSETUP'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. NameServer = 172.21.1.22 Сами прописывали? Если это не ваши настройки, то Пофиксите в HijackThis следующие строчки. O17 - HKLM\System\CCS\Services\Tcpip\..\{EE7A4E4D-6ACE-4F1A-AC08-9D6E856A9951}: NameServer = 172.21.1.22 удалите эти файлы в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению. Зараженные ключи в реестре: HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken. Зараженные файлы: c:\Users\Андрей\AppData\Roaming\samson\winzipv.exe (Trojan.FakeSMS) -> No action taken. Удалять c:\Users\Андрей\downloads\программы\winrar\Keygen.exe или нет - на ваше усмотрение. Если вам не известно происхождение данной папки c:\Users\Андрей\AppData\Roaming\samson, рекомендую ее удалить. Повторите лог RSIT, только выберите проверку файлов за 3 месяца Какие проблемы остались? Изменено 23 сентября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
rotor 0 Опубликовано 23 сентября, 2011 Автор Share Опубликовано 23 сентября, 2011 (изменено) Сделал следующее 1 Профиксил NameServer = 172.21.1.22 2 Удалил samson 3 Просканировал МАМ 3 раза.2 раза W7 выключалась:проблема - синий экран 4 Повторил лог RSIT 5 Выполнил скрипт AVZ.Здесь не понял следующее:нет лога выполнения скрипта и нет изменений в Quarantine.zip, а есть изменение в Quarantine Это правильно? mbam_log_2011_09_23__22_02_33_.txt mbam_log_2011_09_23__22_34_46_.txt mbam_log_2011_09_23__23_30_08_.txt log.txt Изменено 23 сентября, 2011 пользователем rotor Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 23 сентября, 2011 Share Опубликовано 23 сентября, 2011 Просканировал МАМ 3 раза.2 раза W7 выключалась:проблема - синий экран Данную программу нужно запускать при выгруженном антивирусе/файерволе. Для чего устанавливали 2011-09-22 McAfee Security Scan? Скорее всего причина в нем... Все нормально у вас. Зловреда удалили) Обязательно деинсталлируйте MBAM! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. Проблемы остались какие-то? Цитата Ссылка на сообщение Поделиться на другие сайты
rotor 0 Опубликовано 24 сентября, 2011 Автор Share Опубликовано 24 сентября, 2011 McAfee Security Scan установился автоматически вместе с новой версией Adobe. Непонятки с выполнением последнего скрипта в AVZ.Лога нет. Насколько я успеваю заметить при выполнении скрипта мелькают красные записи типа 'имитация помещения на карантин", "имитация процесса 5152","перехват...".В папке Quarantine.zip ничего не появляется, а появляется папке Quarantine. Можно ли считать тему исчерпанной? Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 24 сентября, 2011 Share Опубликовано 24 сентября, 2011 (изменено) У меня возникли подозрения т.к. кто -то входил в мою почту с другого компьютера, Смените важные пароли, на всякий случай. McAfee Security Scan установился автоматически вместе с новой версией Adobe. Желательно его деинсталлировать .В папке Quarantine.zip ничего не появляется, а появляется папке Quarantine. Это моя ошибка... Папка Quarantine.zip создается после второго скрипта, а его в ответе нет (ошибка при копировании, не заметила) Самое главное, что нашего зловреда мы удалили, это подтверждает c:\Users\Андрей\Desktop\avz4\quarantine\2011-09-23\avz00001.dta (Trojan.FakeSMS) -> Quarantined and deleted successfully. Если вы говорите, что в папке Quarantine есть изменения, то можете ее отправить по вышеуказанной форме на проверку, предварительно самостоятельно добавить ее в архив с паролем virus. Это для того, чтобы данный зловред попал в базы Касперского. Можно ли считать тему исчерпанной? Если проблем больше нет, то тему можно закрывать. После завершения лечения компьютера создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы. Советую вам посетить эту тему , чтобы узнать больше об эффективных мерах профилактики заражения. Изменено 24 сентября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
rotor 0 Опубликовано 25 сентября, 2011 Автор Share Опубликовано 25 сентября, 2011 Явных проблем не видно. Посмотрите результаты последней проверки AVZ.Если всё в норме ,то спасибо и до новых встреч. virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.