Перейти к содержанию

У меня вирус, не знаю что делать


Рекомендуемые сообщения

Добрый день у меня проблема Касперский не запускается.

Я точно уверен у меня в компьютере вирусы. Где-то вчера днем у меня перестал входить В локальный диск C. Выдавал какую-то ошибку, что то он не мог найти(там было длинное название S-**-***). Я тогда полазил по форумам и по-советам скачал прогу Flash_Disinfector. Действительно помогло. Вот только касперский работать перестал. Переустанавливал и даже перешел на Интернет-секурити до сих пор не работает. ;)

Сканировал прогу сканером Др.Веб, AVZ4, HijackThis

 

http://forum.kaspersky.com/lofiversion/ind...hp/t103206.html

Выполнил описанные действия и ничего не помогло. Что мне делать? :D

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\rjmlk.sys','');
DeleteService('dpti930');
QuarantineFile('C:\WINDOWS\System32\Drivers\a1p4dvez.SYS','');
QuarantineFile('C:\WINDOWS\System32\gxvxcykxrrvciosroyiqrmkcikewpebowbypy.dll','');
DeleteFile('C:\WINDOWS\System32\gxvxcykxrrvciosroyiqrmkcikewpebowbypy.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\a1p4dvez.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\rjmlk.sys');
DeleteFileMask('C:\Documents and Settings\admin\Local Settings\Temp\', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - (no file)
O2 - BHO: (no name) - {FB0E529A-3D2C-473E-83FE-9E56AC6CC0EB} - (no file)
O3 - Toolbar: (no name) - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - (no file)

 

Ваши DNS 85.255.112.191,85.255.112.78 ?

Ваш провайдер?

org-name: UkrTeleGroup Ltd.

address: UkrTeleGroup Ltd.

Mechnikova 58/5

65029 Odessa

Ukraine

Если нет, то пофиксить в HiJack и эти строчки

 O17 - HKLM\System\CCS\Services\Tcpip\..\{9DCE060C-BE0B-421C-97D2-C8882F12A886}: NameServer = 85.255.112.191,85.255.112.78
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.191,85.255.112.78
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.191,85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.191,85.255.112.78

и ввести свои настройки (если не знаете, сначала узнать, а только потом фиксить)

 

Сделайте новые логи. В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы)

 

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

DNS совершенно не тот Я живу в России город Тольятти , оператор Волготелеком . Оформлено на Максимову Ларису Макаравну. У меня вопрос а где взять пароль на папку карантин?Я ведь его не знаю ;)

 

А все понял :D

 

А как мне узнать какой у меня был DNS?

Ссылка на комментарий
Поделиться на другие сайты

Узнать у провайдера. Хотя возможен вариант, что заработает и без ввода Ваших настроек (если Вы их не вводили при установке Windows)

Ссылка на комментарий
Поделиться на другие сайты

DNS нашел

DNS-сервер: предпочитаемый - 62.213.0.12 и альтернативный - 62.213.2.1

 

а как фиксить так и не понял(((( :huh:

 

 

я вирус отсылал и вчера и сегодня. Вчера мне пришел ответ с темой

"Новый вирус [KLAN-27532579]"

и направлением на ваш форум.

Сейчас отвтеа пока нет .

У меня уже неро не прожигает ;) балванки .

Мой комп с каждым разом все хуже и хуже....

Что нужно мне сделать дальше?

Каспер так и не запускается

ПроФиксить я не смог

 

Нифига ща у мя пропала связь с нетом залазию в DNS сервера а там пусто.... Пока вроди исправил

Чертов вирус :D что мне с ним еще сделать :help:

 

 

Просканировал Gmer(ом) что дальше делать?

 

 

Ответ пришел о вирусе

-----------------------------------------------------

От каго:newvirus@kaspersky.com

Тема: Пароль на архив вирус [KLAN-27552676]

Здравствуйте,

 

 

ebowbypy.dll - Trojan-Clicker.Win32.Small.aea

 

Детектирование файла будет добавлено в следующее обновление.

 

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

-------------------------------------------------------------------------------------

И что мне с этим фруктом делать?

GMER.log

Ссылка на комментарий
Поделиться на другие сайты

Лог gmer явно не после нажатия на кнопку Scan, а после экспресс-проверки. Будьте внимательны

 

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcwklrnsxmqwuhharsiyvobrskltfuspbw.sys"
gmer -reboot

И запустите cleanup.bat

 

Сделайте после этого лог gmer еще раз. Нужно подчищать и реестр

Ссылка на комментарий
Поделиться на другие сайты

О Эврика КИС заработал :D

Я щас делаю лог gmerom выложу попозже а потом что надо буит делать?

Для чистки реестра подойдет программа-метелка "CCleaner"?

Ссылка на комментарий
Поделиться на другие сайты

Выкладываю лог GMER(полное сканирование было произведено).

Каспер нашел несколько вирусов и их нейтрализовал.

Что нужно делать дальше?

Я так понимаю вирусы еще гуляют по-моему кампу.

GMER.log

Ссылка на комментарий
Поделиться на другие сайты

Используем другую программку

 

Скачайте IceSword

В нижнем левом углу нажмите Files. Появится аналог проводника

Найдите файлы

 C:\WINDOWS\system32\drivers\gxvxcoiqtoenalcvymyroyuyxumvvkawqneln.sys 
C:\WINDOWS\system32\gxvxckjdofxtetjkvdhmxvgvcejbfhgooruln.dll

Сначала правой кнопкой мыши Copy to (скопировать куда-нибудь, запаковать с па-ролем infected и отправить на newvirus@kaspersky.com, указав в письме пароль).

Придет ответ сообщите

Затем правой кнопкой мыши - force delete каждому

 

Выберите Registry. Найти и удалить ветви реестра

 HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
HKLM\SYSTEM\ControlSet004\Services\gxvxcserv.sys

 

Повторить лог gmer

Ссылка на комментарий
Поделиться на другие сайты

Что ж, отправить в лабораторию не удастся. Будем просто уничтожать

 

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcoiqtoenalcvymyroyuyxumvvkawqneln.sys"
gmer.exe -del file "C:\WINDOWS\system32\gxvxckjdofxtetjkvdhmxvgvcejbfhgooruln.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\gxvxcserv.sys"
gmer -reboot

И запустите cleanup.bat

 

Повторить лог gmer

Ссылка на комментарий
Поделиться на другие сайты

В логе gmer чисто. Еще раз для контроля логи AVZ и HiJack сделайте, пожалуйста

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Анонимка
      От Анонимка
      Предыстории не помню, но сейчас наблюдаю на всех своих устройствах : 
      1) Фиктивные сетевые адаптеры
      2) Непонятные порты и службы
      3) Тормоза компьютера - хотя они не особо заметны
      4) Предустановленные драйверы, которые нельзя удалить
      5) Какие-то левые сертификаты 2010 года, которые определяются, как валидные
      6) Переустановка винды не помогает - такое ощущение, что где-то в недрах диска или биоса зашито это. Либо стоит какое-либо устройство. 
      7) Это проявляется на стационарном ПК , ноутбуке, возможно андроид мобильнике.
       
       
      Чтобы я ни делал, везде проскакивают странности. 
      Очень неприятна мысль, что все твои действия могут контролировать, еще хуже, если могут ими воспользоваться. В этом мои опасения.
       
      Я собрал некие подозрительные файлы с папки windows - они на диске - 
      https://drive.google.com/file/d/17QJoI863YzvNPeo_WTdW5MmcLu729Bg2/view?usp=sharing
      https://drive.google.com/file/d/1d4szAEudnYbfS9hlKQOvQHtCQM6wTLmj/view?usp=sharing
      https://drive.google.com/file/d/1ioGd1yf_pYjWv3bhf368gtmcq7EaxQj_/view?usp=sharing
      https://drive.google.com/file/d/1smFWpaWPqEtEND023e6lBkTmq4uZ-_fd/view?usp=sharing
      Можете помочь ?
        
    • SiGiDi
      От SiGiDi
      Вчера установил файл, после его распаковки вылез экран смерти и после череп который моргает красно белым цветом, что мне делать

    • КираРи
      От КираРи
      Я не знаю что нужно прилагать и что должно быть, но вирус удалить или вылечить не смогла даже с помощью Dr. Web, ноутбук пыхтит даже когда не нагружен работой, помогите я не знаю что делать 
    • Temikst
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • VanyeJ
      От VanyeJ
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

      Событие: Остановлен переход на сайт
      Пользователь: WIN-O4R3Q0UCBR5\User
      Тип пользователя: Инициатор
      Имя приложения: powershell.exe
      Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 1731762779-9803.jpeg
      Путь к объекту: 
      Причина: Облачная защита

      Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.
      CollectionLog-2025.02.08-15.48.zip
×
×
  • Создать...