rumek Опубликовано 17 сентября, 2008 Опубликовано 17 сентября, 2008 Доброй ночи ! У меня такая проблемма заразили флешку 15.09.2008 20:29:58 Real-time file system protection file H:\= ПОРНО ВИДЕО =\Электрошок\ВИДЕО - Электрошок.exe Win32/PornRun.B worm NT AUTHORITY\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\Explorer.EXE. не знаю правильно ли я это описал . После очистки флешки антивирусом я пользуюсь NOD 32 версия 3.0.560 базы обновляю регулярно . флешка перестала отвечать на запросы пришлось форматировать не помогло пришлось использовать спец софт для лечения всё вроде норм. НО теперь при каждой перезагрузке системы антивирь находит вирус постоянно с разным именем но всегда в одной и той же папке Drivers например: C:\WINDOWS\System32\drivers\Cio16.sys Win32/Wigon.ER trojan \?\C:\WINDOWS\System32\svchost.exe. или 17.09.2008 9:57:06 Real-time file system protection file C:\WINDOWS\System32\drivers\tcpsr.sys Win32/Wigon.BY trojan C:\WINDOWS\System32\svchost.exe. и так до бесконечности перестал работать IE плохо работает OPERA страници открываются медленно а менеджер заакачек качает с нормальной скоростью . Пользовательское сканирование никаких результатов не приносит .Конечно можно сделать откат Acronis или переставить систему но это слишком просто .Помогите hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip
ТроПа Опубликовано 18 сентября, 2008 Опубликовано 18 сентября, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ygl38.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pvc85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pub17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Cio16.sys',''); QuarantineFile('c:\windows\system32\cpl32ver.exe',''); TerminateProcessByName('c:\windows\system32\cpl32ver.exe'); DeleteFile('c:\windows\system32\cpl32ver.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Cio16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pub17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pvc85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ygl38.sys'); BC_ImportAll; BC_DeleteSvc('Cio16'); BC_DeleteSvc('Pvc85'); BC_DeleteSvc('Pub17'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Ygl38'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. В АВЗ выполните: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Пришлите quarantine.zip из папки с АВЗ - на адрес 54712@rambler.ru в письме укажите ссылку на тему. Повторите логи. Изменено 18 сентября, 2008 пользователем wise-wistful
Олег777 Опубликовано 18 сентября, 2008 Опубликовано 18 сентября, 2008 Здравствуйте! А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт? Я бы Вам посоветовал скачать бесплатную лечащую утилиту отсюда: http://dnl-eu12.kaspersky-labs.com/devbuilds/AVPTool/ И проверить с помощью неё компьютер из Безопасного режима. Ну и, в дальнейшем, переходите на продукцию ЛК. Если Вы зарегистрированный лицензионный пользователь нод32, то переход на антивирус касперского будет для Вас с 50% скидкой!
akoK Опубликовано 18 сентября, 2008 Опубликовано 18 сентября, 2008 А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт? Можно предположить, что у них с поддержкой туго.
rumek Опубликовано 18 сентября, 2008 Автор Опубликовано 18 сентября, 2008 WIse-wistful большое человеческое спасибо ! За помощь и участие ! Выполнил все твои указания вроде заработало отлично ! Выкладываю новые логи если есть пара свободных минут несколько слов о способах заражения. Еще раз СПАСИБО ! hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip
Falcon Опубликовано 18 сентября, 2008 Опубликовано 18 сентября, 2008 (изменено) Это что такое? C:\Documents and Settings\Виталик\Local Settings\Application Data\CyberDefender\cdmyidd.dll C:\WINDOWS\system32\Drivers\appdrv01.sys P.S. Модуль MyCentria выжил. Изменено 18 сентября, 2008 пользователем Falcon
ТроПа Опубликовано 18 сентября, 2008 Опубликовано 18 сентября, 2008 Ещё не всё. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); QuarantineFile('C:\WINDOWS\System32\Drivers\Vdj06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oub52.sys',''); QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll',''); DeleteFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Oub52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vdj06.sys'); BC_ImportAll; BC_DeleteSvc('Oub52'); BC_DeleteSvc('Vdj06'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. 2.Пофиксить в HijackThis следующие строчки R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) Повторите логи.
rumek Опубликовано 18 сентября, 2008 Автор Опубликовано 18 сентября, 2008 Всё сделал по пунктам как Вы сказали WISE-WISTFUL жду ! hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip
rumek Опубликовано 19 сентября, 2008 Автор Опубликовано 19 сентября, 2008 Огромное Вам спасибо всем кто участвовал в операции по"Спасению " моего компа !! Отдельное СПАСИБО wise-wistful за небезразличное отношение ! Спасибо всё работает !
Олег777 Опубликовано 19 сентября, 2008 Опубликовано 19 сентября, 2008 А мне вот интересно: вы по-прежнему пользуетесь ESET NOD32 или убедились на собственном опыте, что не такой-то он и надежный и решили переходить на продукцию Лаборатории Касперского? Честно, чисто спортивный интерес...
rumek Опубликовано 19 сентября, 2008 Автор Опубликовано 19 сентября, 2008 Олег777 Всё не итак просто как кажется на первый взгляд . Я не оспариваю отличной работы Лаборратории Касперского и её програмного обеспечения .Но преимущество очевидно , только в чём ? В способностях и умении отдельных Людей которые проявили интерес к решению проблеммы я имею ввиду : wise-wistful, Гриша, Falcon . но ведь сам по себе AVZ не нашол проблему без спец скриптов .Олег777 я надеюсь, что я не вызвал у Вас раздражение своим ответом ?( Пробовал я у меня машина тупит и виснет , мощьный он слишком )
Kapral Опубликовано 19 сентября, 2008 Опубликовано 19 сентября, 2008 Т.е. при установке КИС2009 наблюдаются тормоза на компе? А какой конфигурации компьютер? Возможно мы сможем настроить на нормальной работы, поверьте опыт у нас в этом богатый 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти