2 недели под вирусами

[xapnep]

изначально у меня всегда стояла КИСа 7 (но я снимал защиту изредка ,Дц неработал с кисой ).примерно около 2-х недель назад Началось: начала выходить ошибка svchost ,если нажать отмена или ок сразу все виснет мог только врубить лампочку капс лук. Киса нашла 3 трояна.проверил доктором вебом +12 троянов-червей. Поставил аваст,просканировал итог: 1000 записей из них около 400 сообщений о том что неможет проверить файлы. остальные записи о зараженных файлах. Заражены по мнению аваста были все установочники антивирусов, все образы .img wonows-ов.zver'-dvd,LONER-xp,Black edition. все относительно новые и все sp 3.Никак непойму я их все скачал уже зараженными или Они уже у меня на компе заразились. Инфецированных файлов было много но всего лишь 5-8 ми видов троянов,червей. Толком вылечить или почистить неполучилось. Пошел на крайние меры: отформатировал харт переустановил ВИНДУ. поставил нужный софт и дрова,просканировал и снова вири. Обозлился, сбросил биос ,вытащил видяху,оперативку. поставил все поновой ,поставил Касперский 6 с лицензией. просканировал , вирей ненайдено. через пару дней т.е. сегодня началось что-то снова странное.

1) удалено: троянская программа Backdoor.Win32.Agent.afqs Файл: C:\WINDOWS\SoftwareDistribution\Download

\72b4accc3943a6593ebd29eec90ab68d\SP3GDR\wmiprvse.exe

 

2) обнаружено: потенциально опасное ПО Hidden object Процесс: C:\Documents and Settings\Admin\Local Settings\Temp\RarSFX1\setup.exe

с последним вобще ничего непонятно он что-то ставил в систему очень много чего-то, даже драйверы какие-то успел, захожу в папку ТЕМП : ну нет там такой папки RarSFX1. даже тоталом непоказывает. а ругается на эту Директорию постоянно. Я в ШОКЕ. Уже начал думать что вирь выживает на харте после форматирования. есть же на харте своя система может вирь с ней спелся, и живет себе радуестя. откуда я могу их хватать каждый день с таким постоянством, ведь жил же еще недавно полгода С выключенным антивирём. качал по локалке фильмы и игры. ХЕЛП ми

[Falcon]

Выполните, пожалуйста, правила.

Изменено 20 апреля, 2009 пользователем Falcon

[ТроПа]

) обнаружено: потенциально опасное ПО Hidden object Процесс: C:\Documents and Settings\Admin\Local Settings\Temp\RarSFX1\setup.exe

с последним вобще ничего непонятно он что-то ставил в систему очень много чего-то, даже драйверы какие-то успел, захожу в папку ТЕМП : ну нет там такой папки RarSFX1. даже тоталом непоказывает. а ругается на эту Директорию постоянно. Я в ШОКЕ.

Проверку CureIt выполняли? Обычно на него так касперский реагирует.

Ну и рекомендации Falcon

Изменено 20 апреля, 2009 пользователем wise-wistful

[xapnep]

Проверку CureIt выполняли? Обычно на него так касперский реагирует.

Ну и рекомендации Falcon

 

 

да проверял. толку 0

 

Проверку CureIt выполняли? Обычно на него так касперский реагирует.

Ну и рекомендации Falcon

 

рекомендации фалькона в ПРоцессе выполнения

[ТроПа]

да проверял. толку 0

Я и говорю, что нижеследуещее сообщение, это реакция Касперского на эту утилиту.

обнаружено: потенциально опасное ПО Hidden object Процесс: C:\Documents and Settings\Admin\Local Settings\Temp\RarSFX1\setup.exe

[xapnep]

avz показал

1.5 Проверка обработчиков IRP

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 863DC1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 863DC1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 863DC1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 863DC1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 863DC1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 863DC1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 863DC1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 863DC1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 863DC1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 863DC1F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 863DC1F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_CREATE] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_CLOSE] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_WRITE] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_QUERY_INFORMATION] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_SET_INFORMATION] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_QUERY_EA] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_SET_EA] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_QUERY_VOLUME_INFORMATION] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_SET_VOLUME_INFORMATION] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_DIRECTORY_CONTROL] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_FILE_SYSTEM_CONTROL] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_DEVICE_CONTROL] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_LOCK_CONTROL] = 85CD51F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_PNP] = 85CD51F8 -> перехватчик не определен

 

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\PdmHist\b88.0673F5A601C9C185.history\00000000.bak - PE файл с нестандартным расширением(степень опасности 5%)

[Falcon]

В правилах сказано:

вложите в сообщение файлы логов, полученных в пп.8 (AVZ - virusinfo_syscure.zip), 10 (AVZ - virusinfo_syscheck.zip) и 12 (HJT - hijackthis.log) всего должно быть 3 лога.

[antispy]

Ну а логи-то где? это текстовая часть и то не вся, по ней судить невозможно ни о чём.

[xapnep]

В правилах сказано:

 

подскажите как это делать где их смотреть

[thyrex]

В папке с программой AVZ есть папка LOG. Там и ищите

[xapnep]

Ну а логи-то где? это текстовая часть и то не вся, по ней судить невозможно ни о чём.

 

вот 2 лога

HJT - hijackthis.log ненашел

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Falcon]

1) Запустите HijackThis.

2) Нажмите на кнопку "Do a system scan and save a logfile".

3) Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log.

 

Данный файл запакуйте в архив и приложите к следующему сообщению.

Изменено 20 апреля, 2009 пользователем Falcon

[xapnep]

1) Запустите HijackThis.

2) Нажмите на кнопку "Do a system scan and save a logfile".

3) Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log.

 

Данный файл запакуйте в архив и приложите к следующему сообщению.

 

а вот и HijackThis.лог

 

 

Я и говорю, что нижеследуещее сообщение, это реакция Касперского на эту утилиту.

 

хорошо. а почему сейчас касперский начал ругаться на другую директорию

обнаружено: потенциально опасное ПО Hidden object Процесс: C:\DOCUME~1\Admin\LOCALS~1\Temp\RarSFX1\setup.exe

hijackthis.log

[ТроПа]

Ну а настройки АВЗ зачем меняли. Вы думаете приятно листать все эти чист.

Вероятнее всего у вас не лицензионная ОС, а какая-то сборка. Там много всего пихают и не всегда полезное.

 

1) удалено: троянская программа Backdoor.Win32.Agent.afqs Файл: C:\WINDOWS\SoftwareDistribution\Download

\72b4accc3943a6593ebd29eec90ab68d\SP3GDR\wmiprvse.exe

Ну может что-то закачивали заражённое.

 

В логах активного заражения не вижу.

Изменено 20 апреля, 2009 пользователем wise-wistful

[Falcon]

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\dllhost.exe',' ');
DelCLSID('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelCLSID('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Перезагрузка.

 

Затем так:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1).

О результате сообщите.

 

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected..

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.

- нажмите No, если вы хотите оставить ваши сохраненные пароли .

- если вы используете Opera, нажмите Opera - Select All - Empty Selected.

- нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Изменено 20 апреля, 2009 пользователем Falcon