a2618 0 Опубликовано 24 августа, 2008 Автор Share Опубликовано 24 августа, 2008 М-да уж.Еще одна жертва поддельного антивируса. Я с ним справлялся следующим образом: перезагрузка в безопасном режиме, удаление этой дряни (хр секьюрити центр), очистка реестра с помощью регклинера и очистка автозагрузки от лишних записей. перезагрузка и все в порядке. Вобщем погуглив нашел такую вещь про хпцентр http://en.securitylab.ru/viruses/353283.php Половины описаных ф-лов так и не нашел, удалял все что хоть немного совпадало с именами из ссылки. Правил реестр. ни шиша все осталось как было. Кста каспера смог запустить, установил в папку под названием Casper и переименовал авп.ехе в zxc.ехе(Все это делал в БР) тока в нормал режиме каспер орет что не вся защита работает да и х с ней при проверке компа на вирусы выдает пару бэкдоров и троянов, при удалении\лечении зараженных ф-лов комп ребутится и все по новой Ладно попробую все это замутить в БР, если не получится, приду и буду долго и очень нудно плакать Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 24 августа, 2008 Share Опубликовано 24 августа, 2008 Скачайте IceSword. Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл 'C:\WINDOWS\system32\karina.dat'. Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". В любом случае повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
a2618 0 Опубликовано 25 августа, 2008 Автор Share Опубликовано 25 августа, 2008 Скачайте IceSword.Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл 'C:\WINDOWS\system32\karina.dat'. Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". В любом случае повторите логи. Все сдел как сказали. Логи в именах которых стоит_0 это логи сразу после использования IceSword. Логи с простыми именами это логи после ребута (для сравнения, вдруг пригодятся). Файл 'karina.dat', находится в папках 'C:\WINDOWS' и 'C:\WINDOWS\system32'. Еще в этих же папках есть фаил 'buritos.exe' плюс при старте винды он стартует как процесс, удалял эти файлы разнообразными способами после ребута они снова есть =( я готов удалить все подозрительные файлы, главное что бы окошки работали. virusinfo_syscheck_0.zip virusinfo_syscure_0.zip hijackthis_0.rar virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.rar Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 26 августа, 2008 Share Опубликовано 26 августа, 2008 karina.dat и buritos.exe удалите при помощи IceSword везде где найдёте. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys'); DeleteFile('C:\WINDOWS\system32\buritos.exe'); DeleteFile('C:\WINDOWS\system32\winivstr.exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\TNL9AS71\Install[1].exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\TNL9AS71\Install[2].exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\79UI2QYP\Install[2].exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\79UI2QYP\Install[3].exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\79UI2QYP\Install[4].exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\79UI2QYP\Install[5].exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\321U6W6U\Install[1].exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\321U6W6U\Install[2].exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\Z20UE7V2\Install[1].exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\Z20UE7V2\Install[2].exe'); DeleteFile('C:\Documents and Settings\Melkiy\Local Settings\Temporary Internet Files\Content.IE5\Z20UE7V2\Install[3].exe'); DeleteFile('C:\WINDOWS\system32\karina.dat'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
a2618 0 Опубликовано 26 августа, 2008 Автор Share Опубликовано 26 августа, 2008 karina.dat и buritos.exe удалите при помощи IceSword везде где найдёте. Удалил, после перезагрузки появились снова, заюзал поиск, нашол фаил buritos-hflksj-6257.pf в папке 'C:\WINDOWS\Prefetch' очистил всю папку с помощью IceSword, снова удалил файлы karina.dat и buritos.exe, выполнил скрипт, перезагрузился и поиск не нашол файлов karina.dat и buritos.exe, ура. ща гуглю насчет папки 'C:\WINDOWS\wt' очень она меня смущает может ее тоже удалить с помощью скрипта или IceSword. wise-wistful огромное вам спасибо, за то что тратите на меня свое время и помогаете. Логи прикладываю. З.Ы. Раскажите плз через личку как повышать репутацию, а то я сам что-то не разобрался. hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
MiStr 1 595 Опубликовано 26 августа, 2008 Share Опубликовано 26 августа, 2008 З.Ы. Раскажите плз через личку как повышать репутацию, а то я сам что-то не разобрался. Изменение репутации другим участникам форума возможно после превышения отметки в 20 сообщений. Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 26 августа, 2008 Share Опубликовано 26 августа, 2008 Пофиксите в HJT (запустите программу, нажмите Do a system scan only-- поставьте галочки слева от указанных строк--нажмите Fix cheked--перезагрузите компьютер) O20 - AppInit_DLLs: karina.dat Может быть сообщение от HJT о том что он не может создать бекап - не обращайте внимания - это нормально в данном случае. VirtualNetwork - попробуйте деинсталировать - это адварка. По поводу C:\WINDOWS\wt - могу дать Вам ссылку на разработчика АВЗ который пишет о ней. ну а там решайте сами. Цитата Ссылка на сообщение Поделиться на другие сайты
a2618 0 Опубликовано 27 августа, 2008 Автор Share Опубликовано 27 августа, 2008 (изменено) Пофиксите в HJT (запустите программу, нажмите Do a system scan only-- поставьте галочки слева от указанных строк--нажмите Fix cheked--перезагрузите компьютер) Может быть сообщение от HJT о том что он не может создать бекап - не обращайте внимания - это нормально в данном случае. VirtualNetwork - попробуйте деинсталировать - это адварка. По поводу C:\WINDOWS\wt - могу дать Вам ссылку на разработчика АВЗ который пишет о ней. ну а там решайте сами. Сделал все как вы сказали, тьфу-тьфу-тьфу вроде все нормально но на всякии пожарный приложу новые логи. HJT- совсем не ругался и создал бэкап. По поводу VirtualNetwork в папке есть анинстал при запуске анинстал выдает такую инфу Программа установки обнаружила на компьютере следующие програмы: Adobe Flash Player ActiveX Adobe Shockwave Player Advanced Archive Password Recovery (remove only) ATI Display Driver BadCopy Pro Beavis and Butt-head Do U. (*давно нету) DivX Pro Codec Dr. DivX EasyRescanKey v.1.3 engraved guns screen saver EPSON Printer Software FINAL FANTASY VIII (*давно стер) FlashGet(JetCar) FLV Player Fraps (remove only) FreeCap version 3.18 (*давно стер) FTP Commander Hamachi 1.0.2.2 (*не пользуюсь) HexEdit HijackThis 2.0.2 HtmlReader v1.7 Windows Internet Explorer 7 IGI Norton PartitionMagic 8.0 CamStudio IP-Tools Kaspersky Online Scanner Обновление безопасности для Windows Internet Explorer 7 (KB953838) K-Lite Mega Codec Pack 1.52 Microsoft .NET Framework 3.0 Mail.Ru Агент 4.9 (сборка 1863, для всех пользователей) NewLive All Media To Mp3 Converter 3.6 Office Keyboard Proxy Checker 7.4 (build 18) Quake 3 Arena & Team Arena (*давно стер) Quake III Arena Point Release 1.31 (*давно стер) Ray Adams ATI Tray Tools Real 3D Matrix 3D Screensaver Free Registrar Lite 2.00 (*хз что) SAMSUNG Mobile Modem Driver Set Samsung Mobile phone USB driver S Если удалить VirtualNetwork, то эти программы могут работать не правильно. и по этому поводу появился закономерный вопрос: это просто для отмазы от анинстала или и вправду может нарушить работу этих прог. З.Ы. Заметил в логах что авз распознает прогу написаную лично мной как коня E:\Projects\Новая папка\TT.exe >>> подозрение на Trojan.Win32.StartPage.auv ( 07EC679E 050465B0 00209817 0023E175 379392) Прогу писал на делфях, для друга если при входе в систему через определенное время не ввести пароль комп ребутится =) такая мини защита от детей. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 27 августа, 2008 пользователем a2618 Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 27 августа, 2008 Share Опубликовано 27 августа, 2008 Мда, с такими замашками этой проги - к ней отнеслись еще по божески КАВ/КИС устанавлены? Если да - то какой вердикт они дают на самописку? Цитата Ссылка на сообщение Поделиться на другие сайты
a2618 0 Опубликовано 27 августа, 2008 Автор Share Опубликовано 27 августа, 2008 Мда, с такими замашками этой проги - к ней отнеслись еще по божески КАВ/КИС устанавлены? Если да - то какой вердикт они дают на самописку? КАВ/КИС еще не ставил приду домой поставлю, а до этого КАВ не мог включить защиту от спама ругался на какойто сбой. Если да - то какой вердикт они дают на самописку?(немного не понял вопроса) Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 27 августа, 2008 Share Опубликовано 27 августа, 2008 а до этого КАВ не мог включить защиту от спама ругался на какойто сбой. Бывает, теперь после лечения не должно быть Если да - то какой вердикт они дают на самописку?(немного не понял вопроса) Ну АВЗ ругнулся, судя по действиям КИС/КАВ скорее всего тоже не понравится - а вот как обругает - вот это и есть вердикт Если начнет ругаться - вышлите на newvirus/@/kaspersky.com в архиве под паролем Пароль укажите в теле письма А в теме укажите - что фолс ЗЫ. Желательно это делать после проверки с самыми актуальными базами Цитата Ссылка на сообщение Поделиться на другие сайты
a2618 0 Опубликовано 27 августа, 2008 Автор Share Опубликовано 27 августа, 2008 Уважаемый Kapral это вы про мою прогу? если да то я вам еще и исходники с архивом вышлю =) Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 27 августа, 2008 Share Опубликовано 27 августа, 2008 Уважаемый Kapral это вы про мою прогу?если да то я вам еще и исходники с архивом вышлю =) Да это он о ней. Просто если Касперский еёс начнёт детектить и у друга то же касперский - то ой-ой-ой, а так отправите аналитикам и её снимут с детекта. Я догадался, что это одна из Ваших программ, увидев установленный Делфи. и по этому поводу появился закономерный вопрос: это просто для отмазы от анинстала или и вправду может нарушить работу этих прог. Скорее всего просто отмазка адвары. Ну если сомневаетесь то подождите. Когда поставите Касперского будет понятнее. Если это о чём я думаю, он то же задетектит её. В логах больше ничего подозрительного не видать. 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 27 августа, 2008 Share Опубликовано 27 августа, 2008 Ээээ, а мне зачем.? Вдруг я пароль не правильно введу Цитата Ссылка на сообщение Поделиться на другие сайты
a2618 0 Опубликовано 28 августа, 2008 Автор Share Опубликовано 28 августа, 2008 Огромное спасибо всем за помощь КАВ работает нормально, проверка моей проги с последними базами ничего в ней не детектит =) Уважаемые модераторы повысте реаутацию wise-wistful он спапс меня от вируса! Просто не охото флудить на форуме. З.Ы. Теперь я буду тут частым гостем Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.