Подозрение на вирус. Лог AVZ.

Аlexandr · 02.09.2010, 13:10

На днях стал очень туго работать инет. Запускал с другой винды - скорость отличная. При открытии какой-либо папки выделяю файл - окно с папкой может быстро стать неактивным. Слетает схема оформления рабочего стола (стандартная).
Лог AVZ http://webfile.ru/4704968

monte-kristo · 02.09.2010, 14:58

Аlexandr, ваш лог чист.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Аlexandr · 02.09.2010, 19:24

Лог MBAM http://webfile.ru/4705913
RSIT log.txt http://webfile.ru/4705921
RSIT info.txt http://webfile.ru/4705923

monte-kristo · 03.09.2010, 15:18

Аlexandr, извините что заставили ждать.
В mbam удалите:

Код:

C:\Program Files\Nero 9\Nero Burning ROM\regFileTypes.exe (Trojan.Vilsel) -> No action taken.

Вам Process Killer необходим?
Задания:

Код:

C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1202660629-616249376-682003330-1003Core.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1202660629-616249376-682003330-1003UA.job
C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1202660629-616249376-682003330-1003.job
C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1202660629-616249376-682003330-1003.job

Создавали?
Trojan Remover-удалите он не нужен!
Запустите AVZ, откройте меню "Файл - Выполнить скрипт"
-- Скопируйте ниже написанный скрип и нажмите кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('ar3s0ta7', 4);
 StopService('ar3s0ta7');
 DeleteFile('C:\WINDOWS\system32\drivers\ar3s0ta7.sys');
 DeleteService('ar3s0ta7');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

+

После выполнения скрипта компьютер перезагрузится.

Повторите логи RSIT!

Аlexandr · 03.09.2010, 20:53

RSIT info http://webfile.ru/4708718
RSIT log http://webfile.ru/4708719

monte-kristo · 03.09.2010, 22:59

Аlexandr, C:\WINDOWS\system32\drivers\a0396wig.sys
Вам известен? Если нет то проверьте здесь http://www.virustotal.com/index.html
Результат в ссылках выложите здесь!

По логу ничего серьезного!
Попробуем другой метод:

Скачайте SDFix http://www.commix.ru/SDFix.exe или http://www.commix.ru/security/sdfix.html, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Аlexandr · 04.09.2010, 23:58

C:\WINDOWS\system32\drivers\a0396wig.sys не нашел.
Выполнил все предписания.
combofix http://webfile.ru/4710515
SDFix http://webfile.ru/4710519

Аlexandr · 06.09.2010, 15:01

Цитата:

Сообщение от Аlexandr

C:\WINDOWS\system32\drivers\a0396wig.sys не нашел.
Выполнил все предписания.
combofix http://webfile.ru/4710515
SDFix http://webfile.ru/4710519

Сразу после этого комп пришел в норму, но сегодня все опять ухудшилось- инет стал работать еще медленее, скидываются настройки оформления, панели задач и ПУСКа.

---------- Добавлено в 15:57 ---------- Предыдущее сообщение было написано в 15:56 ----------

Цитата:

Сообщение от Аlexandr

C:\WINDOWS\system32\drivers\a0396wig.sys не нашел.
Выполнил все предписания.
combofix http://webfile.ru/4710515
SDFix http://webfile.ru/4710519

Сразу после этого комп пришел в норму, но сегодня все опять ухудшилось- инет стал работать еще медленее, скидываются настройки оформления, панели задач и ПУСКа.

---------- Добавлено в 16:01 ---------- Предыдущее сообщение было написано в 15:57 ----------

Цитата:

Сообщение от Аlexandr

C:\WINDOWS\system32\drivers\a0396wig.sys не нашел.
Выполнил все предписания.
combofix http://webfile.ru/4710515
SDFix http://webfile.ru/4710519

Сразу после этого комп пришел в норму, но сегодня все опять ухудшилось- инет стал работать еще медленее, скидываются настройки оформления, панели задач и ПУСКа.

monte-kristo · 06.09.2010, 16:52

Аlexandr, вирусы то у вас имеютя, только вот больно они у вас скрытные!

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\vde5otcy.sys','');
 QuarantineFile('c:\windows\E10DB5DAE57640EAA7FC1CB2A7B283A6.TMP','');
 QuarantineFile('c:\documents and settings\Александр\Local Settings\Application Data\GDIPFONTCACHEV1.DAT','');
 QuarantineFile('c:\windows\system32\perfc019.dat','');
 QuarantineFile('c:\windows\system32\perfh019.dat','');
 QuarantineFile('C:\WINDOWS\system32\drivers\a0396wig.sys','');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите на почту по адресу serega994@gmail.com

Аlexandr · 06.09.2010, 17:43

Выполнил скрипты и отправил карантин с i_am_sytkov@mail.ru

monte-kristo · 07.09.2010, 19:39

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\documents and settings\Александр\Application Data\Simply Super Software\Trojan Remover\doy5A.exe

FileLook::
C:\WINDOWS\system32\drivers\ar3s0ta7.sys

DirLook::
C:\WINDOWS\system32\drivers\

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Аlexandr · 08.09.2010, 00:30

monte-kristo, http://webfile.ru/4717353

monte-kristo · 08.09.2010, 22:56

Аlexandr, лог то чист! Попробуем вот такие еще действия! Может проблема не в вирусе.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip) на рабочем столе, полученный файл прикрепите к сообщению.

Аlexandr · 09.09.2010, 18:08

monte-kristo, лог GSI http://webfile.ru/4721549
Лог MBAM http://webfile.ru/4721554

monte-kristo · 09.09.2010, 22:57

Аlexandr, судя по всему ваша система на данный момент чиста! Проблемы теже?

02.09.2010, 13:10	#1 (ссылка)
Аlexandr Новичок Регистрация: 24.08.2010 Сообщений: 25 Репутация: 0	Подозрение на вирус. Лог AVZ. На днях стал очень туго работать инет. Запускал с другой винды - скорость отличная. При открытии какой-либо папки выделяю файл - окно с папкой может быстро стать неактивным. Слетает схема оформления рабочего стола (стандартная). Лог AVZ http://webfile.ru/4704968

02.09.2010, 14:58	#2 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	Аlexandr, ваш лог чист. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

03.09.2010, 15:18	#4 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	Аlexandr, извините что заставили ждать. В mbam удалите: Код: C:\Program Files\Nero 9\Nero Burning ROM\regFileTypes.exe (Trojan.Vilsel) -> No action taken. Вам Process Killer необходим? Задания: Код: C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1202660629-616249376-682003330-1003Core.job C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1202660629-616249376-682003330-1003UA.job C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1202660629-616249376-682003330-1003.job C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1202660629-616249376-682003330-1003.job Создавали? Trojan Remover-удалите он не нужен! Запустите AVZ, откройте меню "Файл - Выполнить скрипт" -- Скопируйте ниже написанный скрип и нажмите кнопку "Запустить". Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('ar3s0ta7', 4); StopService('ar3s0ta7'); DeleteFile('C:\WINDOWS\system32\drivers\ar3s0ta7.sys'); DeleteService('ar3s0ta7'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. + После выполнения скрипта компьютер перезагрузится. Повторите логи RSIT!

07.09.2010, 19:39	#11 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код: KillAll:: File:: c:\documents and settings\Александр\Application Data\Simply Super Software\Trojan Remover\doy5A.exe FileLook:: C:\WINDOWS\system32\drivers\ar3s0ta7.sys DirLook:: C:\WINDOWS\system32\drivers\ Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
подозрение на вирус	Vladimir50	Безопасность	7	07.01.2011 18:30
подозрение на вирус	Виктор_ВладимировичЭ	Безопасность	4	02.12.2010 10:53
Подозрение на вирус	LeNox	Безопасность	9	01.12.2010 14:31
Подозрение на вирус	psyholirik87	Безопасность	6	26.09.2010 00:03
Подозрение на вирус	zodiak365	Безопасность	4	13.07.2010 11:34
Подозрение на вирус	piton331	Безопасность	3	08.07.2010 02:14
Подозрение на вирус	Романыч	Безопасность	9	10.05.2010 18:48
Подозрение на вирус	Славок	Безопасность	11	16.04.2010 20:05
Подозрение на вирус	Hantik	Безопасность	16	25.03.2010 20:48
Подозрение на вирус!	Aleks1981	Безопасность	7	25.01.2010 20:40
Подозрение на вирус.	diversant	Безопасность	14	28.04.2009 23:52

02.09.2010, 19:24	#3 (ссылка)
Аlexandr Новичок Регистрация: 24.08.2010 Сообщений: 25 Репутация: 0	Лог MBAM http://webfile.ru/4705913 RSIT log.txt http://webfile.ru/4705921 RSIT info.txt http://webfile.ru/4705923

03.09.2010, 20:53	#5 (ссылка)
Аlexandr Новичок Регистрация: 24.08.2010 Сообщений: 25 Репутация: 0	RSIT info http://webfile.ru/4708718 RSIT log http://webfile.ru/4708719

03.09.2010, 22:59	#6 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	Аlexandr, C:\WINDOWS\system32\drivers\a0396wig.sys Вам известен? Если нет то проверьте здесь http://www.virustotal.com/index.html Результат в ссылках выложите здесь! По логу ничего серьезного! Попробуем другой метод: Скачайте SDFix http://www.commix.ru/SDFix.exe или http://www.commix.ru/security/sdfix.html, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

04.09.2010, 23:58	#7 (ссылка)
Аlexandr Новичок Регистрация: 24.08.2010 Сообщений: 25 Репутация: 0	C:\WINDOWS\system32\drivers\a0396wig.sys не нашел. Выполнил все предписания. combofix http://webfile.ru/4710515 SDFix http://webfile.ru/4710519

06.09.2010, 17:43	#10 (ссылка)
Аlexandr Новичок Регистрация: 24.08.2010 Сообщений: 25 Репутация: 0	Выполнил скрипты и отправил карантин с i_am_sytkov@mail.ru

08.09.2010, 00:30	#12 (ссылка)
Аlexandr Новичок Регистрация: 24.08.2010 Сообщений: 25 Репутация: 0	monte-kristo, http://webfile.ru/4717353

08.09.2010, 22:56	#13 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	Аlexandr, лог то чист! Попробуем вот такие еще действия! Может проблема не в вирусе. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Скачайте и запустите GetSystemInfo (GSI), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip) на рабочем столе, полученный файл прикрепите к сообщению.

09.09.2010, 18:08	#14 (ссылка)
Аlexandr Новичок Регистрация: 24.08.2010 Сообщений: 25 Репутация: 0	monte-kristo, лог GSI http://webfile.ru/4721549 Лог MBAM http://webfile.ru/4721554

09.09.2010, 22:57	#15 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	Аlexandr, судя по всему ваша система на данный момент чиста! Проблемы теже?

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads