diary 0 Опубликовано 11 декабря, 2008 Share Опубликовано 11 декабря, 2008 Здравствуйте. Недавно НОД обнаружил вирус в файле brastk.exe (модифицированный Win32/Adware.UltimateDefender.AA). Как я поняла, я случайно прервала его - на рабочем столе остался файл delself.bat и файл, который он должен был удалить - ~.exe. НОД файл brastk удалил, но с тех пор постоянно находятся Tracking cookie и модифицированный Win32/Agent.NVD в файлах папки Temp. Были DoS-атаки. Периодически запрашивает входящее соединение svchost.exe. Outpost не выполняет назначенные задания, правда, его я установила уже после того, как НОД обнаружил вирус. Проверяла комп с загрузочного CD с Касперским - что-то нашел, удалил, но ситуация не изменилась. Помогите, пожалуйста. А то единственным выходом видится только переустановка системы. Логи прикладываю. Единственное, что не выполнила - не отключала восстановление системы, так как есть ценные файлы. Если потребуется - отключу. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 12 декабря, 2008 Share Опубликовано 12 декабря, 2008 (изменено) 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\Natasha\jsinek.exe',''); QuarantineFile('C:\Temp\logishrd\LVPrcInj01.dll',''); DeleteFile('C:\Documents and Settings\Natasha\jsinek.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему. Повторите логи. Изменено 12 декабря, 2008 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
diary 0 Опубликовано 12 декабря, 2008 Автор Share Опубликовано 12 декабря, 2008 (изменено) Карантин отправила. Логи прилагаю. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Изменено 12 декабря, 2008 пользователем diary Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 12 декабря, 2008 Share Опубликовано 12 декабря, 2008 АВЗ--сервис--поиск файлов поищите jsinek.exe - если найдётся напишите есть он или нет. Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 12 декабря, 2008 Share Опубликовано 12 декабря, 2008 (изменено) Мммм, а это что такое и за что отвечает: c:\windows\system32\drivers\wtsrv.exe c:\WINDOWS\system32\WinTab32.DLL Изменено 12 декабря, 2008 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
diary 0 Опубликовано 12 декабря, 2008 Автор Share Опубликовано 12 декабря, 2008 (изменено) АВЗ--сервис--поиск файлов поищите jsinek.exe - если найдётся напишите есть он или нет. Не нашел. Э.. Это значит, все? Или что-то еще осталось? Похоже, нет. Опять троян нашелся. Изменено 12 декабря, 2008 пользователем diary Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 12 декабря, 2008 Share Опубликовано 12 декабря, 2008 Логи сюда, посмотрим, что осталось. Цитата Ссылка на сообщение Поделиться на другие сайты
diary 0 Опубликовано 12 декабря, 2008 Автор Share Опубликовано 12 декабря, 2008 (изменено) Логи. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Изменено 12 декабря, 2008 пользователем diary Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 12 декабря, 2008 Share Опубликовано 12 декабря, 2008 Отключите Восстановление системы. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\Natasha\jsinek.exe',''); DeleteFile('C:\Documents and Settings\Natasha\jsinek.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение. Проверка компьютера при помощи Malwarebytes' Anti-Malware Повторите логи АВЗ и hijackthis Цитата Ссылка на сообщение Поделиться на другие сайты
diary 0 Опубликовано 12 декабря, 2008 Автор Share Опубликовано 12 декабря, 2008 Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение. Проверка компьютера при помощи Malwarebytes' Anti-Malware Тип проверки: Полная (C:\|D:\|) Проверено объектов: 154973 Прошло времени: 23 minute(s), 34 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 12 Заражено значений реестра: 0 Заражено параметров реестра: 0 Заражено папок: 0 Заражено файлов: 0 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CLASSES_ROOT\Typelib\{86a44ef9-78fc-4e18-a564-b18f806f7f56} (Trojan.MultiDefender) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac3-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c1de446a-8770-4621-9378-f1922c74a36c} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Adware.BHO) -> Quarantined and deleted successfully. Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: (Вредоносные программы не обнаружены) Повторите логи АВЗ и hijackthis virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip Цитата Ссылка на сообщение Поделиться на другие сайты
diary 0 Опубликовано 13 декабря, 2008 Автор Share Опубликовано 13 декабря, 2008 Сегодня при проверке Outpost'ом НОД опять троян обнаружил. Плюс еще одна странность появилась - при входе в браузер один сайт просит загрузить куки при том, что на этот сайт я не заходила. (Я уже установила "спрашивать, принимать ли куки") Цитата Ссылка на сообщение Поделиться на другие сайты
Sandynist 1 115 Опубликовано 13 декабря, 2008 Share Опубликовано 13 декабря, 2008 (изменено) Плюс еще одна странность появилась - при входе в браузер один сайт просит загрузить куки при том, что на этот сайт я не заходила. (Я уже установила "спрашивать, принимать ли куки") Это не странность, а стандартный сервис обозревателя интернета, если не хотите сохранять файлы авторизации на своём компьютере - то нажимаете на "Нет", но имейте ввиду, что пароли придётся вводить при каждом входе на тот или иной сайт или форум заново. Изменено 13 декабря, 2008 пользователем Sandynist Цитата Ссылка на сообщение Поделиться на другие сайты
diary 0 Опубликовано 13 декабря, 2008 Автор Share Опубликовано 13 декабря, 2008 Это не странность, а стандартный сервис обозревателя интернета, если не хотите сохранять файлы авторизации на своём компьютере - то нажимаете на "Нет", но имейте ввиду, что пароли придётся вводить при каждом входе на тот или иной сайт или форум заново. Такие настройки для куки стоят уже больше недели, а этот сервис проявился только сейчас... Пароли уже давно на всех сайтах ввожу при каждом входе заново. Другие сайты спрашивают, принять ли куки только тогда, когда открываю сам сайт... Наверное, я уже во всем вижу происки вирусов. Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 13 декабря, 2008 Share Опубликовано 13 декабря, 2008 Сегодня при проверке Outpost'ом НОД опять троян обнаружил. простите не совсем понял. Чем вы проверяли и кто обнаружил? Кроме того есть ли полный путь к врагу? Цитата Ссылка на сообщение Поделиться на другие сайты
diary 0 Опубликовано 13 декабря, 2008 Автор Share Опубликовано 13 декабря, 2008 (изменено) простите не совсем понял. Чем вы проверяли и кто обнаружил? Кроме того есть ли полный путь к врагу? Включила Outpost на полную проверку системы. Во время этой проверки отреагировал НОД. Вот записи из журнала: 13.12.2008 16:23:19 Модуль сканирования - Защита файловой системы в режиме реального времени Объект - файл Имя - C:\Temp\AMW5640.tmp Вирус - модифицированный Win32/Agent.NVD троянская программа Действие - очищен удалением - изолирован Пользователь - NT AUTHORITY\SYSTEM Информация - Событие произошло в файле модифицированном приложением: C:\Program Files\Opera\Opera.exe. 13.12.2008 16:26:20 Модуль сканирования - Защита файловой системы в режиме реального времени Объект - файл Имя - C:\Temp\AMW5974.tmp Вирус - вероятно модифицированный Win32/PSW.Agent троянская программа Действие - очищен удалением - изолирован Пользователь - NT AUTHORITY\SYSTEM Информация - Событие произошло в файле модифицированном приложением: C:\Program Files\Opera\Opera.exe. Такое было и раньше, но с другим приложением (в пункте Информация) - был сам Outpost или Ad-aware. Иногда файл был другой - C:\Temp\PK***.tmp (***-цифры) Изменено 13 декабря, 2008 пользователем diary Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.