rumek 0 Опубликовано 17 сентября, 2008 Share Опубликовано 17 сентября, 2008 Доброй ночи ! У меня такая проблемма заразили флешку 15.09.2008 20:29:58 Real-time file system protection file H:\= ПОРНО ВИДЕО =\Электрошок\ВИДЕО - Электрошок.exe Win32/PornRun.B worm NT AUTHORITY\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\Explorer.EXE. не знаю правильно ли я это описал . После очистки флешки антивирусом я пользуюсь NOD 32 версия 3.0.560 базы обновляю регулярно . флешка перестала отвечать на запросы пришлось форматировать не помогло пришлось использовать спец софт для лечения всё вроде норм. НО теперь при каждой перезагрузке системы антивирь находит вирус постоянно с разным именем но всегда в одной и той же папке Drivers например: C:\WINDOWS\System32\drivers\Cio16.sys Win32/Wigon.ER trojan \?\C:\WINDOWS\System32\svchost.exe. или 17.09.2008 9:57:06 Real-time file system protection file C:\WINDOWS\System32\drivers\tcpsr.sys Win32/Wigon.BY trojan C:\WINDOWS\System32\svchost.exe. и так до бесконечности перестал работать IE плохо работает OPERA страници открываются медленно а менеджер заакачек качает с нормальной скоростью . Пользовательское сканирование никаких результатов не приносит .Конечно можно сделать откат Acronis или переставить систему но это слишком просто .Помогите hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 18 сентября, 2008 Share Опубликовано 18 сентября, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ygl38.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pvc85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pub17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Cio16.sys',''); QuarantineFile('c:\windows\system32\cpl32ver.exe',''); TerminateProcessByName('c:\windows\system32\cpl32ver.exe'); DeleteFile('c:\windows\system32\cpl32ver.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Cio16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pub17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pvc85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ygl38.sys'); BC_ImportAll; BC_DeleteSvc('Cio16'); BC_DeleteSvc('Pvc85'); BC_DeleteSvc('Pub17'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Ygl38'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. В АВЗ выполните: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Пришлите quarantine.zip из папки с АВЗ - на адрес 54712@rambler.ru в письме укажите ссылку на тему. Повторите логи. Изменено 18 сентября, 2008 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
Олег777 559 Опубликовано 18 сентября, 2008 Share Опубликовано 18 сентября, 2008 Здравствуйте! А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт? Я бы Вам посоветовал скачать бесплатную лечащую утилиту отсюда: http://dnl-eu12.kaspersky-labs.com/devbuilds/AVPTool/ И проверить с помощью неё компьютер из Безопасного режима. Ну и, в дальнейшем, переходите на продукцию ЛК. Если Вы зарегистрированный лицензионный пользователь нод32, то переход на антивирус касперского будет для Вас с 50% скидкой! Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 18 сентября, 2008 Share Опубликовано 18 сентября, 2008 А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт? Можно предположить, что у них с поддержкой туго. Цитата Ссылка на сообщение Поделиться на другие сайты
rumek 0 Опубликовано 18 сентября, 2008 Автор Share Опубликовано 18 сентября, 2008 WIse-wistful большое человеческое спасибо ! За помощь и участие ! Выполнил все твои указания вроде заработало отлично ! Выкладываю новые логи если есть пара свободных минут несколько слов о способах заражения. Еще раз СПАСИБО ! hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 18 сентября, 2008 Share Опубликовано 18 сентября, 2008 (изменено) Это что такое? C:\Documents and Settings\Виталик\Local Settings\Application Data\CyberDefender\cdmyidd.dll C:\WINDOWS\system32\Drivers\appdrv01.sys P.S. Модуль MyCentria выжил. Изменено 18 сентября, 2008 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 18 сентября, 2008 Share Опубликовано 18 сентября, 2008 Ещё не всё. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); QuarantineFile('C:\WINDOWS\System32\Drivers\Vdj06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oub52.sys',''); QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll',''); DeleteFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Oub52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vdj06.sys'); BC_ImportAll; BC_DeleteSvc('Oub52'); BC_DeleteSvc('Vdj06'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. 2.Пофиксить в HijackThis следующие строчки R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) Повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
rumek 0 Опубликовано 18 сентября, 2008 Автор Share Опубликовано 18 сентября, 2008 Всё сделал по пунктам как Вы сказали WISE-WISTFUL жду ! hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Гриша 24 Опубликовано 18 сентября, 2008 Share Опубликовано 18 сентября, 2008 В логах чисто,жалобы есть? Цитата Ссылка на сообщение Поделиться на другие сайты
rumek 0 Опубликовано 19 сентября, 2008 Автор Share Опубликовано 19 сентября, 2008 Огромное Вам спасибо всем кто участвовал в операции по"Спасению " моего компа !! Отдельное СПАСИБО wise-wistful за небезразличное отношение ! Спасибо всё работает ! Цитата Ссылка на сообщение Поделиться на другие сайты
Олег777 559 Опубликовано 19 сентября, 2008 Share Опубликовано 19 сентября, 2008 А мне вот интересно: вы по-прежнему пользуетесь ESET NOD32 или убедились на собственном опыте, что не такой-то он и надежный и решили переходить на продукцию Лаборатории Касперского? Честно, чисто спортивный интерес... Цитата Ссылка на сообщение Поделиться на другие сайты
rumek 0 Опубликовано 19 сентября, 2008 Автор Share Опубликовано 19 сентября, 2008 Олег777 Всё не итак просто как кажется на первый взгляд . Я не оспариваю отличной работы Лаборратории Касперского и её програмного обеспечения .Но преимущество очевидно , только в чём ? В способностях и умении отдельных Людей которые проявили интерес к решению проблеммы я имею ввиду : wise-wistful, Гриша, Falcon . но ведь сам по себе AVZ не нашол проблему без спец скриптов .Олег777 я надеюсь, что я не вызвал у Вас раздражение своим ответом ?( Пробовал я у меня машина тупит и виснет , мощьный он слишком ) Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 19 сентября, 2008 Share Опубликовано 19 сентября, 2008 Т.е. при установке КИС2009 наблюдаются тормоза на компе? А какой конфигурации компьютер? Возможно мы сможем настроить на нормальной работы, поверьте опыт у нас в этом богатый 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.