19.01.2011, 07:51 | #1 (ссылка) |
Новичок
Регистрация: 25.09.2010
Сообщений: 69
Репутация: 4
|
Подозрение на вирус
Уважаемые специалисты, проверьте, пожалуйста, логи. Есть подозрение на вирусы.
ЛОГ AVZ: http://exfile.ru/151084 ЛОГ hijackthis: http://exfile.ru/151083 Извиняюсь, если что не так, делаю всё в первый раз. |
19.01.2011, 08:07 | #2 (ссылка) |
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
Выполните скрипт:
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('CrystalSysInfo'); QuarantineFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\RarSFX0\SysInfo.sys',''); DeleteFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\RarSFX0\SysInfo.sys'); DeleteService('CrystalSysInfo'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. |
19.01.2011, 12:46 | #3 (ссылка) |
Новичок
Регистрация: 25.09.2010
Сообщений: 69
Репутация: 4
|
Направляю Скрипт № 2: http://exfile.ru/151124
Также:http://exfile.ru/151126 Остальное сделаю после работы |
19.01.2011, 17:57 | #4 (ссылка) |
Новичок
Регистрация: 25.09.2010
Сообщений: 69
Репутация: 4
|
К предыдущему посту:
ЛОГ MBAM^ Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Версия базы данных: 5552 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 19.01.2011 18:54:48 mbam-log-2011-01-19 (18-54-38).txt Тип сканирования: Полное сканирование (C:\|D:\|E:\|) Просканированные объекты: 267937 Времени прошло: 25 минут, 12 секунд Заражённые процессы в памяти: 0 Заражённые модули в памяти: 0 Заражённые ключи в реестре: 0 Заражённые параметры в реестре: 0 Объекты реестра заражены: 7 Заражённые папки: 0 Заражённые файлы: 6 Заражённые процессы в памяти: (Вредоносных программ не обнаружено) Заражённые модули в памяти: (Вредоносных программ не обнаружено) Заражённые ключи в реестре: (Вредоносных программ не обнаружено) Заражённые параметры в реестре: (Вредоносных программ не обнаружено) Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Заражённые папки: (Вредоносных программ не обнаружено) Заражённые файлы: c:\RECYCLER\s-1-5-21-1417001333-2052111302-682003330-1003\Dc1097.exe (Trojan.Dropper) -> No action taken. c:\WINDOWS\system32\oobe\antiwpa_crypt.dll (Hacktool) -> No action taken. d:\документы\принц персии\asx-pop3.exe (Malware.Packer.Gen) -> No action taken. e:\Фильмы\moo0_rightclicker_1.42\KeyGen's\KeyGen2. exe (RiskWare.Tool.CK) -> No action taken. e:\Фильмы\nero-7.5.9.0_rus_no_atb\Ключ.exe (RiskWare.Tool.CK) -> No action taken. c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken. |
19.01.2011, 18:31 | #6 (ссылка) |
Новичок
Регистрация: 25.09.2010
Сообщений: 69
Репутация: 4
|
Спасибо за оперативность.
Новый лог AVZ |
19.01.2011, 21:16 | #7 (ссылка) | |
Мастер
|
Вот этот файл:
Цитата:
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('?.exe',''); QuarantineFile('lgrlnbas.sys',''); DeleteFile('lgrlnbas.sys'); DeleteFile('?.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
|
20.01.2011, 20:42 | #10 (ссылка) |
Новичок
Регистрация: 25.09.2010
Сообщений: 69
Репутация: 4
|
ComboFix скачала, но запустить не удалось. Отключила Браузеры, антивирус, других защитных программ нет.
При нажатии на значок: 8. http://s003.radikal.ru/i202/1101/4f/cedcb874d3cd.jpg стало появляться следующее: 1. http://s012.radikal.ru/i320/1101/d6/dd13f90d4573.jpg 2. http://s014.radikal.ru/i326/1101/96/973590c2c36d.jpg 3. http://s010.radikal.ru/i312/1101/94/0cc14ac3ce10.jpg 4. http://s40.radikal.ru/i089/1101/36/12041ddd8470.jpg 5. http://s40.radikal.ru/i090/1101/aa/d01cd7f602cc.jpg И вылез BSOD На диске С появилось следующее: 7. http://s002.radikal.ru/i200/1101/91/1f6433078fef.jpg В папке с названием ComboFix - содержимое Моего Компьютера. Переименование ComboFix не помогло, второй раз синего экрана ждать не стала ---------- Добавлено в 19:06 ---------- Предыдущее сообщение было написано в 16:46 ---------- Кстати, в первых скринах есть указание на Doctor Web, у меня никогда этот антивирус не стоял. С нова установлен KIS. Если что - как это это бяки (Doctor Web Anti-Virus) можно избавиться? ---------- Добавлено в 19:42 ---------- Предыдущее сообщение было написано в 19:06 ---------- Почитала руководство по применению ComboFix. Все сообщения, кроме тех, что про антивирус, оказывается, должны быть. Сканирование проходит до последнего этапа, т.е. 50 шагов сканирования на экране есть, а потом вылетает BSOD: Stop: 0х00000019 (0х00000020), 0х881F3438, 0х881F3850, 0х1А830022. Что делать??? Последний раз редактировалось Ветина; 20.01.2011 в 17:52. |
21.01.2011, 03:35 | #11 (ссылка) |
Мастер
|
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('?.exe'); DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
21.01.2011, 07:52 | #12 (ссылка) |
Новичок
Регистрация: 25.09.2010
Сообщений: 69
Репутация: 4
|
С ComboFix ничего не получается, те же предупреждения на несуществующий Доктор Веб, в начале сканирования предупреждение об ошибке, а после сканирования - Синий Экран с теми же цифрами. Эмулятор удалила.
Новый Скрипт 2 |
21.01.2011, 19:48 | #14 (ссылка) |
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
Выполните скрипт:
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('catchme'); QuarantineFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\catchme.sys',''); DeleteFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\catchme.sys'); DeleteService('catchme'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. В Combofix по прежнему не получается сделать лог? Следуйте инструкции, затем попытайтесь сделать лог CF. Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
подозрение на вирус | Vladimir50 | Безопасность | 7 | 07.01.2011 18:30 |
подозрение на вирус | Виктор_ВладимировичЭ | Безопасность | 4 | 02.12.2010 10:53 |
Подозрение на вирус | LeNox | Безопасность | 9 | 01.12.2010 14:31 |
Подозрение на вирус | psyholirik87 | Безопасность | 6 | 26.09.2010 00:03 |
Подозрение на вирус | zodiak365 | Безопасность | 4 | 13.07.2010 11:34 |
Подозрение на вирус | piton331 | Безопасность | 3 | 08.07.2010 02:14 |
Подозрение на вирус(ы) | DONBASS | Безопасность | 5 | 19.06.2010 02:23 |
Подозрение на вирус | Романыч | Безопасность | 9 | 10.05.2010 18:48 |
Подозрение на вирус | Hantik | Безопасность | 16 | 25.03.2010 20:48 |
Подозрение на вирус! | Aleks1981 | Безопасность | 7 | 25.01.2010 20:40 |
Подозрение на вирус. | diversant | Безопасность | 14 | 28.04.2009 23:52 |