Подозрение на вирус

[al45]

Здравствуйте. Есть подозрение что на компьютере вирус

 

1. Иногда на экране происходит моргание, как будто какая то программа открылась и быстро закрылась

2. Иногда программы не отвечают долго, при этом процессор загружен на 1-3 %. Память тоже не используется

 

Проверил компьютере Dr.Web CureIt! – нашел :

1A96.tmp C:\WINDOWS\Temp Trojan.Carberp.276 Удален.

1AAF.tmp C:\WINDOWS\Temp Trojan.Carberp.276 Удален.

vqovzsotkhi.exe c:\documents and settings\user\главное меню\программы\автозагрузка Trojan.Carberp.276 Удален.

 

Посмотрите логи пожалуйста.

Заранее большое спасибо.

 

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\VqOVzSotkHI.exe','');
QuarantineFile('C:\WINDOWS\Temp\KwBu62zJ.sys','');
DeleteFile('C:\WINDOWS\Temp\KwBu62zJ.sys');
DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\VqOVzSotkHI.exe');
DeleteFile('C:\plg.txt');
BC_ImportALL;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив необходимо загрузить при помощи этой формы:

1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина и нажмите "Далее".

4. Если размер карантина превышает 15 мб, то карантин отправьте по адресу newvirus@kaspersky.com

 

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
   
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:

   tdsskiller.exe -silent -qmbr -qboot

   
   

3. Запустите файл fix.bat;
   
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
   
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
   
6. Запустите файл TDSSKiller.exe;
   
7. Нажмите кнопку "Начать проверку";
   
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
     
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
     

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.

[*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.

[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).

[*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.

[*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

 

Подготовьте лог UVS

 

 

После лечения обязательно смените пароли.

[al45]

Большое спасибо за помощь, все рекомендуемое сделал, логи прикрепил ниже

TDSSKiller.2.7.22.0_22.03.2012_10.52.52_log.txt

HOME_7BFF21F308_2012_03_22_10_56_19.rar

[akoK]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

 

Windows сборка?

 

Начинайте менять пароли, активного заражения не вижу.

[al45]

сборка 2600.xpsp_sp3_qfe.100216-1510

mbam_log_2012_03_22__19_55_43_.txt

[Tiare]

al45,

 

удалите только эту строку в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

C:\Documents and Settings\User\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

 

Повторите логи RSIT для контроля

 

 

Проблемы есть?

[al45]

спасибо, проблем нету

mbam_log_2012_03_22__19_05_25_.txt

 

логи RSIT

log.txt

info.txt

[Roman_Five]

деинсталлируйте MBAM

 

не забывайте:

После лечения обязательно смените пароли.

[Tiare]

al45,

 

+ к вышесказанному

 

удалите

C:\eAeuihCImOl96fy

C:\Documents and Settings\User\Application Data\eAeuihCImOl96fy

Если папка Application Data не видна, включите отображение скрытых файлов. Для этого в любой папке зайдите в меню Сервис - Свойства папки - Вид - Скрытые файлы и папки и поставьте галочку на строке "Показывать скрытые файлы и папки", а также снимите галочку в пункте "Скрывать защищенные системные файлы (рекомендуется)".

 

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

желательно отключить автозапуск на этих устройствах, т.к. это повышает уязвимость вашей системы. Можно исправить с помощью AVZ - меню "Файл\Мастер поиска и устранения проблем"

 

 

 

Рекомендации после лечения

[al45]

Огромное спасибо всем за помощь.

Выполнил все рекомендации, еще раз спасибо.