Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вирус или что?

Sasha12128

Автор Sasha12128
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sasha12128 Новичок

Sasha12128

Опубликовано
Опубликовано (изменено)

Вчера обнаружил при двойном клике на любом из разделов жёсткого диска c,d и т.д. после чего окно закрывалось, вот такое сообщение об ошибки:

post-8711-1236073461_thumb.jpg

Изменено пользователем Sasha12128
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('msupdate', 4);
QuarantineFile('digeste.dll','');
QuarantineFile('F:\DOCUME~1\Bredlyy\LOCALS~1\Temp\init.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('F:\DOCUME~1\Bredlyy\LOCALS~1\Temp\init.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteService('msupdate');
BC_ImportALL;
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

 

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
FagotAdmin Постоялец

FagotAdmin

Опубликовано
Опубликовано
Вчера обнаружил при двойном клике на любом из разделов жёсткого диска c,d и т.д. после чего окно закрывалось, вот такое сообщение об ошибки:

Вирусня, возможно остатки, возможно Авторанер... Че делать? Сначала запишите на болванку AVZ 4 и сканер Dr. Web в безопасном режиме просканируйте систему с диска сначала AVZ 4 потом Dr. Web (сканеры запускать с болванки! ) после этого установите какую нить утилитку по очистке реестра и почистите реестр, благо такого софта в нэте полно. Думаю этот совет поможет Вам :)

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано
Думаю этот совет поможет Вам

 

А вы видите что процесс лечения уже идёт или принципиально не читаете больше ничьи сообщения?

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)

FagotAdmin, я не сильно Вам мешаю своими рекомендациями проводить лечение?

 

ыыыы афтар жжет.

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Помойка еще осталась.

 

Пофиксить в HijackThis следующие строчки

 	
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: crypt - C:\WINDOWS\

 

Ваш провайдер?

85.255.114.72
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

 

Если нет, то пофиксить в HijackThis

 
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212
O17 - HKLM\System\CS9\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212

 

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
J:\autorun.exe
G:\autorun.exe
F:\Documents and Settings\Bredlyy\Local Settings\Temp\init.exe
C:\Program Files\MyCentria
C:\WINDOWS\system32\shell31.dll
C:\WINDOWS\A7E07C2B2220441587E3784D5814BC93.TMP
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{adcb423e-504b-11dd-a291-d36e9a8ae8dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6acff2b-840a-11dd-a3a3-81c20484a636}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec0f1bed-e33d-11dd-a4a5-aa80ea13728f}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Bonjour - нужен?

 

А что за вирус был?

Вам прийдет ответ от виралаба, а не мне :)

Ссылка на комментарий
Поделиться на другие сайты
Sasha12128 Новичок

Sasha12128

Опубликовано
  • Автор
Опубликовано (изменено)

Пофиксил :)

 

Ваш провайдер?

85.255.114.72
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

 

Не провайдер не мой, тоже пофиксил B)

 

Bonjour - нужен?

Нет не нужен, а как избавится?

03032009_215725.log

mbam_log_2009_03_03__22_53_13_.txt

Изменено пользователем Sasha12128
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
DeleteFile('c:\program files\bonjour\mdnsNSP.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ВасилийВ
      [РЕШЕНО] Вирус
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • SergeyUfa
      Вирус на сайте
      Автор SergeyUfa
      Здравствуйте, помогите пожалуйста, на сайте завелся вирус, при переходе из поисковых систем, в некоторых разделах сайта появляется текст ведущий нелегальные казино и порно-контент, сайт на битриксе, не как отловить не можем, все модули проверили, может кто сталкивался?
    • sNg
      Неудаляемый вирус
      Автор sNg
      Доброго времени суток. Имеется вот такая история:
      Купил новый ноутбук (HP Laptop 17-cp0035ua). С покупки был с предустановленным DOS. Я его снес, накатил Win10. После установки, на чистой винде в браузере начали странно себя вести страницы, а именно редиректить при открытии на всякие сайты. Первостепенно редиректит на 89.208.107.49. Работает не со всеми сайтами, случайно. Решил переустановить, подумал в установочнике вирус или на флешке.
      Установил с официальных дистрибутивов на новой флешке. Результат тот же. На абсолютно голой системе без драйверов такая же ситуация, редирект на те же сайты.
      Ладно, решил копать дальше. Проверил систему Malwarebytes, нашел вирус, удалил, но ситуация не исправилась. 
      Проверил систему KVRT. Не нашел ничего.
      Проверил систему из под live usb Eset. Нашел вирус injector.autoit в загрузочнике и всякую мелочь. Удалил. Ура, подумал я, наконец решилось, но нет. После очередной новой установки результат тот же.
      Решил решить проблему радикально - сменить ssd. Сменил. И проблема осталась. Менял оперативку. Результат тот же. Обновил БИОС. Результат тот же.
      НО! Если включить VPN (WARP) или вручную сменить DNS в настройках то проблема пропадает. Но сам вирус или что это такое остается. 
×
×
  • Создать...