Перейти к содержанию
Авторизация  
diary

Не удается удалить вирусы до конца

Рекомендуемые сообщения

Здравствуйте.

Недавно НОД обнаружил вирус в файле brastk.exe (модифицированный Win32/Adware.UltimateDefender.AA). Как я поняла, я случайно прервала его - на рабочем столе остался файл delself.bat и файл, который он должен был удалить - ~.exe. НОД файл brastk удалил, но с тех пор постоянно находятся Tracking cookie и модифицированный Win32/Agent.NVD в файлах папки Temp. Были DoS-атаки. Периодически запрашивает входящее соединение svchost.exe. Outpost не выполняет назначенные задания, правда, его я установила уже после того, как НОД обнаружил вирус.

Проверяла комп с загрузочного CD с Касперским - что-то нашел, удалил, но ситуация не изменилась.

 

Помогите, пожалуйста. А то единственным выходом видится только переустановка системы.

Логи прикладываю. Единственное, что не выполнила - не отключала восстановление системы, так как есть ценные файлы. Если потребуется - отключу.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Natasha\jsinek.exe','');
QuarantineFile('C:\Temp\logishrd\LVPrcInj01.dll','');
DeleteFile('C:\Documents and Settings\Natasha\jsinek.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

 

 

Повторите логи.

Изменено пользователем wise-wistful

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Карантин отправила.

Логи прилагаю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Изменено пользователем diary

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мммм, а это что такое и за что отвечает:

c:\windows\system32\drivers\wtsrv.exe

c:\WINDOWS\system32\WinTab32.DLL

;)

Изменено пользователем Falcon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВЗ--сервис--поиск файлов поищите jsinek.exe - если найдётся напишите есть он или нет.

Не нашел.

 

 

Э.. Это значит, все? ;) Или что-то еще осталось?

 

Похоже, нет. Опять троян нашелся.

Изменено пользователем diary

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отключите Восстановление системы.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Natasha\jsinek.exe','');
DeleteFile('C:\Documents and Settings\Natasha\jsinek.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

 

Проверка компьютера при помощи Malwarebytes' Anti-Malware

 

Повторите логи АВЗ и hijackthis

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

 

Проверка компьютера при помощи Malwarebytes' Anti-Malware

 

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 154973

Прошло времени: 23 minute(s), 34 second(s)

 

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 12

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 0

 

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

 

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

 

Заражено ключей реестра:

HKEY_CLASSES_ROOT\Typelib\{86a44ef9-78fc-4e18-a564-b18f806f7f56} (Trojan.MultiDefender) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac3-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c1de446a-8770-4621-9378-f1922c74a36c} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Adware.BHO) -> Quarantined and deleted successfully.

 

Заражено значений реестра:

(Вредоносные программы не обнаружены)

 

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

 

Заражено папок:

(Вредоносные программы не обнаружены)

 

Заражено файлов:

(Вредоносные программы не обнаружены)

 

Повторите логи АВЗ и hijackthis

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сегодня при проверке Outpost'ом НОД опять троян обнаружил. Плюс еще одна странность появилась - при входе в браузер один сайт просит загрузить куки при том, что на этот сайт я не заходила. (Я уже установила "спрашивать, принимать ли куки") ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Плюс еще одна странность появилась - при входе в браузер один сайт просит загрузить куки при том, что на этот сайт я не заходила. (Я уже установила "спрашивать, принимать ли куки")

 

Это не странность, а стандартный сервис обозревателя интернета, если не хотите сохранять файлы авторизации на своём компьютере - то нажимаете на "Нет", но имейте ввиду, что пароли придётся вводить при каждом входе на тот или иной сайт или форум заново.

Изменено пользователем Sandynist

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это не странность, а стандартный сервис обозревателя интернета, если не хотите сохранять файлы авторизации на своём компьютере - то нажимаете на "Нет", но имейте ввиду, что пароли придётся вводить при каждом входе на тот или иной сайт или форум заново.

Такие настройки для куки стоят уже больше недели, а этот сервис проявился только сейчас... Пароли уже давно на всех сайтах ввожу при каждом входе заново. Другие сайты спрашивают, принять ли куки только тогда, когда открываю сам сайт... ;)

;) Наверное, я уже во всем вижу происки вирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сегодня при проверке Outpost'ом НОД опять троян обнаружил.

простите не совсем понял. Чем вы проверяли и кто обнаружил? Кроме того есть ли полный путь к врагу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
простите не совсем понял. Чем вы проверяли и кто обнаружил? Кроме того есть ли полный путь к врагу?

Включила Outpost на полную проверку системы. Во время этой проверки отреагировал НОД. Вот записи из журнала:

 

13.12.2008 16:23:19

Модуль сканирования - Защита файловой системы в режиме реального времени

Объект - файл

Имя - C:\Temp\AMW5640.tmp

Вирус - модифицированный Win32/Agent.NVD троянская программа

Действие - очищен удалением - изолирован

Пользователь - NT AUTHORITY\SYSTEM

Информация - Событие произошло в файле модифицированном приложением: C:\Program Files\Opera\Opera.exe.

 

13.12.2008 16:26:20

Модуль сканирования - Защита файловой системы в режиме реального времени

Объект - файл

Имя - C:\Temp\AMW5974.tmp

Вирус - вероятно модифицированный Win32/PSW.Agent троянская программа

Действие - очищен удалением - изолирован

Пользователь - NT AUTHORITY\SYSTEM

Информация - Событие произошло в файле модифицированном приложением: C:\Program Files\Opera\Opera.exe.

 

Такое было и раньше, но с другим приложением (в пункте Информация) - был сам Outpost или Ad-aware. Иногда файл был другой - C:\Temp\PK***.tmp (***-цифры)

Изменено пользователем diary

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...