rumek Опубликовано 17 сентября, 2008 Поделиться Опубликовано 17 сентября, 2008 Доброй ночи ! У меня такая проблемма заразили флешку 15.09.2008 20:29:58 Real-time file system protection file H:\= ПОРНО ВИДЕО =\Электрошок\ВИДЕО - Электрошок.exe Win32/PornRun.B worm NT AUTHORITY\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\Explorer.EXE. не знаю правильно ли я это описал . После очистки флешки антивирусом я пользуюсь NOD 32 версия 3.0.560 базы обновляю регулярно . флешка перестала отвечать на запросы пришлось форматировать не помогло пришлось использовать спец софт для лечения всё вроде норм. НО теперь при каждой перезагрузке системы антивирь находит вирус постоянно с разным именем но всегда в одной и той же папке Drivers например: C:\WINDOWS\System32\drivers\Cio16.sys Win32/Wigon.ER trojan \?\C:\WINDOWS\System32\svchost.exe. или 17.09.2008 9:57:06 Real-time file system protection file C:\WINDOWS\System32\drivers\tcpsr.sys Win32/Wigon.BY trojan C:\WINDOWS\System32\svchost.exe. и так до бесконечности перестал работать IE плохо работает OPERA страници открываются медленно а менеджер заакачек качает с нормальной скоростью . Пользовательское сканирование никаких результатов не приносит .Конечно можно сделать откат Acronis или переставить систему но это слишком просто .Помогите hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 18 сентября, 2008 Поделиться Опубликовано 18 сентября, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ygl38.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pvc85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pub17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Cio16.sys',''); QuarantineFile('c:\windows\system32\cpl32ver.exe',''); TerminateProcessByName('c:\windows\system32\cpl32ver.exe'); DeleteFile('c:\windows\system32\cpl32ver.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Cio16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pub17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pvc85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ygl38.sys'); BC_ImportAll; BC_DeleteSvc('Cio16'); BC_DeleteSvc('Pvc85'); BC_DeleteSvc('Pub17'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Ygl38'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. В АВЗ выполните: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Пришлите quarantine.zip из папки с АВЗ - на адрес 54712@rambler.ru в письме укажите ссылку на тему. Повторите логи. Изменено 18 сентября, 2008 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
Олег777 Опубликовано 18 сентября, 2008 Поделиться Опубликовано 18 сентября, 2008 Здравствуйте! А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт? Я бы Вам посоветовал скачать бесплатную лечащую утилиту отсюда: http://dnl-eu12.kaspersky-labs.com/devbuilds/AVPTool/ И проверить с помощью неё компьютер из Безопасного режима. Ну и, в дальнейшем, переходите на продукцию ЛК. Если Вы зарегистрированный лицензионный пользователь нод32, то переход на антивирус касперского будет для Вас с 50% скидкой! Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 18 сентября, 2008 Поделиться Опубликовано 18 сентября, 2008 А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт? Можно предположить, что у них с поддержкой туго. Ссылка на комментарий Поделиться на другие сайты Поделиться
rumek Опубликовано 18 сентября, 2008 Автор Поделиться Опубликовано 18 сентября, 2008 WIse-wistful большое человеческое спасибо ! За помощь и участие ! Выполнил все твои указания вроде заработало отлично ! Выкладываю новые логи если есть пара свободных минут несколько слов о способах заражения. Еще раз СПАСИБО ! hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 18 сентября, 2008 Поделиться Опубликовано 18 сентября, 2008 (изменено) Это что такое? C:\Documents and Settings\Виталик\Local Settings\Application Data\CyberDefender\cdmyidd.dll C:\WINDOWS\system32\Drivers\appdrv01.sys P.S. Модуль MyCentria выжил. Изменено 18 сентября, 2008 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 18 сентября, 2008 Поделиться Опубликовано 18 сентября, 2008 Ещё не всё. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); QuarantineFile('C:\WINDOWS\System32\Drivers\Vdj06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oub52.sys',''); QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll',''); DeleteFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Oub52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vdj06.sys'); BC_ImportAll; BC_DeleteSvc('Oub52'); BC_DeleteSvc('Vdj06'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. 2.Пофиксить в HijackThis следующие строчки R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
rumek Опубликовано 18 сентября, 2008 Автор Поделиться Опубликовано 18 сентября, 2008 Всё сделал по пунктам как Вы сказали WISE-WISTFUL жду ! hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Гриша Опубликовано 18 сентября, 2008 Поделиться Опубликовано 18 сентября, 2008 В логах чисто,жалобы есть? Ссылка на комментарий Поделиться на другие сайты Поделиться
rumek Опубликовано 19 сентября, 2008 Автор Поделиться Опубликовано 19 сентября, 2008 Огромное Вам спасибо всем кто участвовал в операции по"Спасению " моего компа !! Отдельное СПАСИБО wise-wistful за небезразличное отношение ! Спасибо всё работает ! Ссылка на комментарий Поделиться на другие сайты Поделиться
Олег777 Опубликовано 19 сентября, 2008 Поделиться Опубликовано 19 сентября, 2008 А мне вот интересно: вы по-прежнему пользуетесь ESET NOD32 или убедились на собственном опыте, что не такой-то он и надежный и решили переходить на продукцию Лаборатории Касперского? Честно, чисто спортивный интерес... Ссылка на комментарий Поделиться на другие сайты Поделиться
rumek Опубликовано 19 сентября, 2008 Автор Поделиться Опубликовано 19 сентября, 2008 Олег777 Всё не итак просто как кажется на первый взгляд . Я не оспариваю отличной работы Лаборратории Касперского и её програмного обеспечения .Но преимущество очевидно , только в чём ? В способностях и умении отдельных Людей которые проявили интерес к решению проблеммы я имею ввиду : wise-wistful, Гриша, Falcon . но ведь сам по себе AVZ не нашол проблему без спец скриптов .Олег777 я надеюсь, что я не вызвал у Вас раздражение своим ответом ?( Пробовал я у меня машина тупит и виснет , мощьный он слишком ) Ссылка на комментарий Поделиться на другие сайты Поделиться
Kapral Опубликовано 19 сентября, 2008 Поделиться Опубликовано 19 сентября, 2008 Т.е. при установке КИС2009 наблюдаются тормоза на компе? А какой конфигурации компьютер? Возможно мы сможем настроить на нормальной работы, поверьте опыт у нас в этом богатый 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти