Перейти к содержанию

Не удается удалить вирусы до конца

diary
 Share

Рекомендуемые сообщения

diary Новичок

diary

Опубликовано
Опубликовано

Здравствуйте.

Недавно НОД обнаружил вирус в файле brastk.exe (модифицированный Win32/Adware.UltimateDefender.AA). Как я поняла, я случайно прервала его - на рабочем столе остался файл delself.bat и файл, который он должен был удалить - ~.exe. НОД файл brastk удалил, но с тех пор постоянно находятся Tracking cookie и модифицированный Win32/Agent.NVD в файлах папки Temp. Были DoS-атаки. Периодически запрашивает входящее соединение svchost.exe. Outpost не выполняет назначенные задания, правда, его я установила уже после того, как НОД обнаружил вирус.

Проверяла комп с загрузочного CD с Касперским - что-то нашел, удалил, но ситуация не изменилась.

 

Помогите, пожалуйста. А то единственным выходом видится только переустановка системы.

Логи прикладываю. Единственное, что не выполнила - не отключала восстановление системы, так как есть ценные файлы. Если потребуется - отключу.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано (изменено)

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Natasha\jsinek.exe','');
QuarantineFile('C:\Temp\logishrd\LVPrcInj01.dll','');
DeleteFile('C:\Documents and Settings\Natasha\jsinek.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

 

 

Повторите логи.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
diary Новичок

diary

Опубликовано
  • Автор
Опубликовано (изменено)
АВЗ--сервис--поиск файлов поищите jsinek.exe - если найдётся напишите есть он или нет.

Не нашел.

 

 

Э.. Это значит, все? ;) Или что-то еще осталось?

 

Похоже, нет. Опять троян нашелся.

Изменено пользователем diary
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Отключите Восстановление системы.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Natasha\jsinek.exe','');
DeleteFile('C:\Documents and Settings\Natasha\jsinek.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

 

Проверка компьютера при помощи Malwarebytes' Anti-Malware

 

Повторите логи АВЗ и hijackthis

Ссылка на комментарий
Поделиться на другие сайты
diary Новичок

diary

Опубликовано
  • Автор
Опубликовано
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

 

Проверка компьютера при помощи Malwarebytes' Anti-Malware

 

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 154973

Прошло времени: 23 minute(s), 34 second(s)

 

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 12

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 0

 

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

 

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

 

Заражено ключей реестра:

HKEY_CLASSES_ROOT\Typelib\{86a44ef9-78fc-4e18-a564-b18f806f7f56} (Trojan.MultiDefender) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac3-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c1de446a-8770-4621-9378-f1922c74a36c} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Adware.BHO) -> Quarantined and deleted successfully.

 

Заражено значений реестра:

(Вредоносные программы не обнаружены)

 

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

 

Заражено папок:

(Вредоносные программы не обнаружены)

 

Заражено файлов:

(Вредоносные программы не обнаружены)

 

Повторите логи АВЗ и hijackthis

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Ссылка на комментарий
Поделиться на другие сайты
diary Новичок

diary

Опубликовано
  • Автор
Опубликовано

Сегодня при проверке Outpost'ом НОД опять троян обнаружил. Плюс еще одна странность появилась - при входе в браузер один сайт просит загрузить куки при том, что на этот сайт я не заходила. (Я уже установила "спрашивать, принимать ли куки") ;)

Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
Опубликовано (изменено)
Плюс еще одна странность появилась - при входе в браузер один сайт просит загрузить куки при том, что на этот сайт я не заходила. (Я уже установила "спрашивать, принимать ли куки")

 

Это не странность, а стандартный сервис обозревателя интернета, если не хотите сохранять файлы авторизации на своём компьютере - то нажимаете на "Нет", но имейте ввиду, что пароли придётся вводить при каждом входе на тот или иной сайт или форум заново.

Изменено пользователем Sandynist
Ссылка на комментарий
Поделиться на другие сайты
diary Новичок

diary

Опубликовано
  • Автор
Опубликовано
Это не странность, а стандартный сервис обозревателя интернета, если не хотите сохранять файлы авторизации на своём компьютере - то нажимаете на "Нет", но имейте ввиду, что пароли придётся вводить при каждом входе на тот или иной сайт или форум заново.

Такие настройки для куки стоят уже больше недели, а этот сервис проявился только сейчас... Пароли уже давно на всех сайтах ввожу при каждом входе заново. Другие сайты спрашивают, принять ли куки только тогда, когда открываю сам сайт... ;)

;) Наверное, я уже во всем вижу происки вирусов.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано 

Сегодня при проверке Outpost'ом НОД опять троян обнаружил.

простите не совсем понял. Чем вы проверяли и кто обнаружил? Кроме того есть ли полный путь к врагу?

Ссылка на комментарий
Поделиться на другие сайты
diary Новичок

diary

Опубликовано
  • Автор
Опубликовано (изменено)
простите не совсем понял. Чем вы проверяли и кто обнаружил? Кроме того есть ли полный путь к врагу?

Включила Outpost на полную проверку системы. Во время этой проверки отреагировал НОД. Вот записи из журнала:

 

13.12.2008 16:23:19

Модуль сканирования - Защита файловой системы в режиме реального времени

Объект - файл

Имя - C:\Temp\AMW5640.tmp

Вирус - модифицированный Win32/Agent.NVD троянская программа

Действие - очищен удалением - изолирован

Пользователь - NT AUTHORITY\SYSTEM

Информация - Событие произошло в файле модифицированном приложением: C:\Program Files\Opera\Opera.exe.

 

13.12.2008 16:26:20

Модуль сканирования - Защита файловой системы в режиме реального времени

Объект - файл

Имя - C:\Temp\AMW5974.tmp

Вирус - вероятно модифицированный Win32/PSW.Agent троянская программа

Действие - очищен удалением - изолирован

Пользователь - NT AUTHORITY\SYSTEM

Информация - Событие произошло в файле модифицированном приложением: C:\Program Files\Opera\Opera.exe.

 

Такое было и раньше, но с другим приложением (в пункте Информация) - был сам Outpost или Ad-aware. Иногда файл был другой - C:\Temp\PK***.tmp (***-цифры)

Изменено пользователем diary
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • meowqqq
      как удалить вирус CHROMIUM.PAGE.MALWARE.URL
      От meowqqq
      Несколько раз находил этот вирус на своем компьютер удалял но он все ровно устанавливался 
      file:///C:/Users/short/Downloads/cureit(4280).log
       
    • Павел Дмитриевич
      Как расшифровать и удалить вирус?
      От Павел Дмитриевич
      Знакомая подловила вирус - вымогатель , нужно снести его полностью и восстановить файлы
       

    • plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR
      От plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR.
      Объект: dialer.exe.
      Угроза: NET:MALWARE.URL
      Путь:\Net\3816\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
               \Net\2508\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
      Не знаю, что для этого нужно делать и прикреплять. Поэтому прикрепил, что увидел в других похожих темах на этот счет.
      Виндовс не очень хочется переустанавливать из-за этого.
      Curelt его не обезвреживает, при повторном сканировании также появляются в списке. 
      Логи cureit, SysInfo, FRST, Addition: https://dropmefiles.com/AiGRB
    • Эльнар
      Помогите пожалуйста удалить вирус
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • ДанилКО
      [РЕШЕНО] Антивирус не может удалить этот вирус HEUR:Trojan.Multi.GenBadur.genw.
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
×
×
  • Создать...