Заражён комп или мне кажется?

[rotor]

Здравствуйте.Мне кажется,что комп заражён,но кристалл ни чего не видит.Помогите разобраться.

 

http://www.getsysteminfo.com/read.php?file...fb89e82fdd5899b

Заранее благодарен.

hijackthis.log

GetSystemInfo_АНДРЕЙ_ПК_Андрей_2011_09_22_15_59_43.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Users\Андрей\Мои документы\ДАНИЛА\Новая папка\ExtData\Civilization 4\Civ4Loader.exe','');
QuarantineFile('C:\Windows\system32\RussianA.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте при помощи этой формы

 

Почему вам кажется, что компьютер заражен?

[Tiare]

rotor,

 

+ к вышесказанному

 

 

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

 

Пофиксите в HijackThis следующие строчки.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://deposit.poisk-stuffmany.ru/?wkey=591045
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deposit.poisk-stuffmany.ru/?wkey=591045
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

 

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

 

 

-Установите Internet Explorer 9 (даже если им не пользуетесь)

 

- обновите Adobe Reader до актуальной версии

 

 

Проверьте системный раздел скандиском.

пуск - выполнить - cmd - вбить chkdsk C: /v /f /r /x

нажать Y

Перезагрузиться, подождать. (запускать от имени администратора)

Изменено 22 сентября, 2011 пользователем Tiare

[rotor]

У меня возникли подозрения т.к.

1 кто -то входил в мою почту с другого компьютера,

2 сегодня кристалл поймал вирус и поместил его на карантин, но в то же время пишет ,что поместить вирус на карантин нельзя,

3 в браузере всё время пытается установиться какая-то стартовая страница которую всё время убираю

 

Ваши рекомендации выполнил по мере возможности.AVZ карантин отправил.Остальное, что получилось прикрепил.

 

Не удалось профиксить в HijackThis.Результаты нового сканирования прилагаются.

Не нашёл скандиск в W7.

mbam_log_2011_09_22__20_33_09_.txt

info.txt

log.txt

hijackthis.log

[Tiare]

Не нашёл скандиск в W7.

 

попробуйте так

 

 

Отчет Касперского покажите, где пойман ваш зловред.

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

c:\Users\Андрей\downloads\vsignale_m1_lot.exe 
c:\Users\Андрей\downloads\vsignale_trader_1.0.exe

 

Если ответ по отправленному карантину не пришел, то проверьте эти файлы тоже

C:\Windows\system32\RussianA.dll
C:\Users\Андрей\Мои документы\ДАНИЛА\Новая папка\ExtData\Civilization 4\Civ4Loader.exe

 

 

 

Происхождение данной папки c:\Users\Андрей\AppData\Roaming\samson знакомо? Что в ней?

 

Откуда это D:\Setup.exe вам известно? Находится здесь msconfig\startupreg\zzzHPSETUP

 

 

P.S. Найденное в MBAM пока не удаляем, ждем результата проверки на вирустотале.

Изменено 22 сентября, 2011 пользователем Tiare

[rotor]

Пробовал сканировать, ответ - невозможно выполнить команду т.к. указанный том используется другим процессом.

 

Virustotal:http://www.virustotal.com/file-scan/report.html?id=fe1fb3794fc9114d13d027f1328df635f4115054bed16fb401ca79b29f8b7ff2-1316751738

http://www.virustotal.com/file-scan/report...df18-1316751912

http://www.virustotal.com/file-scan/report...5a55-1316752551

http://www.virustotal.com/file-scan/report...e4a0-1316753161

 

В папке c:\Users\Андрей\AppData\Roaming\samson находятся 20 картинок в виде активных иконок.Найти этот файл можно только поисковиком.Если искать по маршруту,то в папке Андрей нет папки AppData

 

Что такое D:\Setup.exe не знаю,т.к. D - это дисковод , который в момент проверки был пустым.Поисковик данный файл не нашёл.

 

Зловред на карантине. Подскажите в каком виде и как показать отчёт Касперского.

[Tiare]

Зловред на карантине. Подскажите в каком виде и как показать отчёт Касперского.

 

Откройте отчет, выберите "Сохранить", сохраните на рабочий стол, например. Текстовой файл прикрепите к вашему ответу.

 

 

Или сделайте скриншот этого окна , так, чтобы было полностью видно месторасположение файла и его название.

[akoK]

Карантин чист.

[rotor]

Сделал

 

Не цепляется отчёт к сообщению. А кнопку для скриншотa на яблочной клавиатуре не найду.

 

C/User/Aндрей/Downloads/Venta Fax & Vois Private 6.3.102.288_212-.zip.exe -этот файл был помещён вчера на карантин

[Tiare]

C/User/Aндрей/Downloads/Venta Fax & Vois Private 6.3.102.288_212-.zip.exe -этот файл был помещён вчера на карантин

Пока файл находится на карантине - он не опасен.

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\Users\Андрей\AppData\Roaming\samson\winzipv.exe',' ');
QuarantineFile('D:\Setup.exe',' ');
DeleteFile('c:\Users\Андрей\AppData\Roaming\samson\winzipv.exe');
DeleteFile('D:\Setup.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\microsoft\shared tools\msconfig\startupreg','zzzHPSETUP'); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

NameServer = 172.21.1.22 Сами прописывали? Если это не ваши настройки, то

 

Пофиксите в HijackThis следующие строчки.

O17 - HKLM\System\CCS\Services\Tcpip\..\{EE7A4E4D-6ACE-4F1A-AC08-9D6E856A9951}: NameServer = 172.21.1.22

 

 

 

удалите эти файлы в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

 

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
Зараженные файлы:
c:\Users\Андрей\AppData\Roaming\samson\winzipv.exe (Trojan.FakeSMS) -> No action taken.

 

Удалять c:\Users\Андрей\downloads\программы\winrar\Keygen.exe или нет - на ваше усмотрение.

 

 

Если вам не известно происхождение данной папки c:\Users\Андрей\AppData\Roaming\samson, рекомендую ее удалить.

 

 

Повторите лог RSIT, только выберите проверку файлов за 3 месяца

 

 

Какие проблемы остались?

Изменено 23 сентября, 2011 пользователем Tiare

[rotor]

Сделал следующее

1 Профиксил NameServer = 172.21.1.22

2 Удалил samson

3 Просканировал МАМ 3 раза.2 раза W7 выключалась:проблема - синий экран

4 Повторил лог RSIT

5 Выполнил скрипт AVZ.Здесь не понял следующее:нет лога выполнения скрипта и нет изменений в Quarantine.zip, а есть изменение в Quarantine

Это правильно?

mbam_log_2011_09_23__22_02_33_.txt

mbam_log_2011_09_23__22_34_46_.txt

mbam_log_2011_09_23__23_30_08_.txt

log.txt

Изменено 23 сентября, 2011 пользователем rotor

[Tiare]

Просканировал МАМ 3 раза.2 раза W7 выключалась:проблема - синий экран

Данную программу нужно запускать при выгруженном антивирусе/файерволе.

 

Для чего устанавливали 2011-09-22 McAfee Security Scan? Скорее всего причина в нем...

 

 

Все нормально у вас. Зловреда удалили)

 

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

 

Проблемы остались какие-то?

[rotor]

McAfee Security Scan установился автоматически вместе с новой версией Adobe.

 

Непонятки с выполнением последнего скрипта в AVZ.Лога нет. Насколько я успеваю заметить при выполнении скрипта мелькают красные записи типа

'имитация помещения на карантин", "имитация процесса 5152","перехват...".В папке Quarantine.zip ничего не появляется, а появляется папке Quarantine.

 

Можно ли считать тему исчерпанной?

[Tiare]

У меня возникли подозрения т.к.

кто -то входил в мою почту с другого компьютера,

 

Смените важные пароли, на всякий случай.

 

 

McAfee Security Scan установился автоматически вместе с новой версией Adobe.

 

Желательно его деинсталлировать

 

.В папке Quarantine.zip ничего не появляется, а появляется папке Quarantine.

 

Это моя ошибка... Папка Quarantine.zip создается после второго скрипта, а его в ответе нет (ошибка при копировании, не заметила)

 

Самое главное, что нашего зловреда мы удалили, это подтверждает

c:\Users\Андрей\Desktop\avz4\quarantine\2011-09-23\avz00001.dta (Trojan.FakeSMS) -> Quarantined and deleted successfully.

 

Если вы говорите, что в папке Quarantine есть изменения, то можете ее отправить по вышеуказанной форме на проверку, предварительно самостоятельно добавить ее в архив с паролем virus. Это для того, чтобы данный зловред попал в базы Касперского.

 

Можно ли считать тему исчерпанной?

 

Если проблем больше нет, то тему можно закрывать.

 

 

 

После завершения лечения компьютера создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы.

 

Советую вам посетить эту тему , чтобы узнать больше об эффективных мерах профилактики заражения.

Изменено 24 сентября, 2011 пользователем Tiare

[rotor]

Явных проблем не видно. Посмотрите результаты последней проверки AVZ.Если всё в норме ,то спасибо и до новых встреч.

virusinfo_syscure.zip

virusinfo_syscheck.zip