Подозрение на вирус

Ветина · 19.01.2011, 07:51

Уважаемые специалисты, проверьте, пожалуйста, логи. Есть подозрение на вирусы.
ЛОГ AVZ: http://exfile.ru/151084

ЛОГ hijackthis: http://exfile.ru/151083

Извиняюсь, если что не так, делаю всё в первый раз.

Strage_297 · 19.01.2011, 08:07

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('CrystalSysInfo');
 QuarantineFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\RarSFX0\SysInfo.sys','');
 DeleteFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\RarSFX0\SysInfo.sys');
 DeleteService('CrystalSysInfo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделайте 2-й стандартный скрипт и приложите к сообщению.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Ветина · 19.01.2011, 12:46

Направляю Скрипт № 2: http://exfile.ru/151124
Также:http://exfile.ru/151126

Остальное сделаю после работы

Ветина · 19.01.2011, 17:57

К предыдущему посту:
ЛОГ MBAM^
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5552

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

19.01.2011 18:54:48
mbam-log-2011-01-19 (18-54-38).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|)
Просканированные объекты: 267937
Времени прошло: 25 минут, 12 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 7
Заражённые папки: 0
Заражённые файлы: 6

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\RECYCLER\s-1-5-21-1417001333-2052111302-682003330-1003\Dc1097.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\oobe\antiwpa_crypt.dll (Hacktool) -> No action taken.
d:\документы\принц персии\asx-pop3.exe (Malware.Packer.Gen) -> No action taken.
e:\Фильмы\moo0_rightclicker_1.42\KeyGen's\KeyGen2. exe (RiskWare.Tool.CK) -> No action taken.
e:\Фильмы\nero-7.5.9.0_rus_no_atb\Ключ.exe (RiskWare.Tool.CK) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.

Iljeben · 19.01.2011, 18:02

Удалите в МВАМ:

Цитата:

Заражённые файлы:
c:\RECYCLER\s-1-5-21-1417001333-2052111302-682003330-1003\Dc1097.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.

Пришлите новый лог AVZ.

Ветина · 19.01.2011, 18:31

Спасибо за оперативность.
Новый лог AVZ

Iljeben · 19.01.2011, 21:16

Вот этот файл:

Цитата:

c:\windows\system32\winlogon.exe

Проверьте на virustotal.com ссылку на результат проверки пришлите.

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('?.exe','');
 QuarantineFile('lgrlnbas.sys','');
 DeleteFile('lgrlnbas.sys');
 DeleteFile('?.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Ветина · 20.01.2011, 07:22

Стандартный скрипт 2

Virustotal.com

Iljeben · 20.01.2011, 07:45

Такой лог пришлите.

Ветина · 20.01.2011, 20:42

ComboFix скачала, но запустить не удалось. Отключила Браузеры, антивирус, других защитных программ нет.
При нажатии на значок: 8. http://s003.radikal.ru/i202/1101/4f/cedcb874d3cd.jpg стало появляться следующее:
1. http://s012.radikal.ru/i320/1101/d6/dd13f90d4573.jpg
2. http://s014.radikal.ru/i326/1101/96/973590c2c36d.jpg
3. http://s010.radikal.ru/i312/1101/94/0cc14ac3ce10.jpg
4. http://s40.radikal.ru/i089/1101/36/12041ddd8470.jpg
5. http://s40.radikal.ru/i090/1101/aa/d01cd7f602cc.jpg

И вылез BSOD

На диске С появилось следующее:
7. http://s002.radikal.ru/i200/1101/91/1f6433078fef.jpg
В папке с названием ComboFix - содержимое Моего Компьютера.

Переименование ComboFix не помогло, второй раз синего экрана ждать не стала

---------- Добавлено в 19:06 ---------- Предыдущее сообщение было написано в 16:46 ----------

Кстати, в первых скринах есть указание на Doctor Web, у меня никогда этот антивирус не стоял. С нова установлен KIS.
Если что - как это это бяки (Doctor Web Anti-Virus) можно избавиться?

---------- Добавлено в 19:42 ---------- Предыдущее сообщение было написано в 19:06 ----------

Почитала руководство по применению ComboFix. Все сообщения, кроме тех, что про антивирус, оказывается, должны быть. Сканирование проходит до последнего этапа, т.е. 50 шагов сканирования на экране есть, а потом вылетает BSOD: Stop: 0х00000019 (0х00000020), 0х881F3438, 0х881F3850, 0х1А830022.

Что делать???

Iljeben · 21.01.2011, 03:35

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('?.exe');
 DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Попробуйте сделать лог ComboFix (если есть эмуляторы виртуальных дисков удалите).

Ветина · 21.01.2011, 07:52

С ComboFix ничего не получается, те же предупреждения на несуществующий Доктор Веб, в начале сканирования предупреждение об ошибке, а после сканирования - Синий Экран с теми же цифрами. Эмулятор удалила.

Новый Скрипт 2

Ветина · 21.01.2011, 17:24

АУ-у-у, откликнитесь кто-нибудь!

Strage_297 · 21.01.2011, 19:48

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('catchme');
 QuarantineFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\catchme.sys','');
 DeleteFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\catchme.sys');
 DeleteService('catchme');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите лог AVZ.

В Combofix по прежнему не получается сделать лог?
Следуйте инструкции, затем попытайтесь сделать лог CF.

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ветина · 21.01.2011, 20:42

С ComboFix ничего не получается. Выдаёт ошибку, а в по завершению сканирования вылетает Синий Экран. Инструкцию всю изучила, реестр весь перелазила, следов Dr.W не нашла. Да их и не может быть. Сразу после покупки я установила Касперского.
AVZ

info.txt

log.txt

19.01.2011, 07:51	#1 (ссылка)
Ветина Новичок Регистрация: 25.09.2010 Сообщений: 69 Репутация: 4	Подозрение на вирус Уважаемые специалисты, проверьте, пожалуйста, логи. Есть подозрение на вирусы. ЛОГ AVZ: http://exfile.ru/151084 ЛОГ hijackthis: http://exfile.ru/151083 Извиняюсь, если что не так, делаю всё в первый раз.

19.01.2011, 08:07	#2 (ссылка)
Strage_297 Новичок Регистрация: 29.12.2010 Сообщений: 617 Репутация: 37	Выполните скрипт: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('CrystalSysInfo'); QuarantineFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\RarSFX0\SysInfo.sys',''); DeleteFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\RarSFX0\SysInfo.sys'); DeleteService('CrystalSysInfo'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Сделайте 2-й стандартный скрипт и приложите к сообщению. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

20.01.2011, 20:42	#10 (ссылка)
Ветина Новичок Регистрация: 25.09.2010 Сообщений: 69 Репутация: 4	ComboFix скачала, но запустить не удалось. Отключила Браузеры, антивирус, других защитных программ нет. При нажатии на значок: 8. http://s003.radikal.ru/i202/1101/4f/cedcb874d3cd.jpg стало появляться следующее: 1. http://s012.radikal.ru/i320/1101/d6/dd13f90d4573.jpg 2. http://s014.radikal.ru/i326/1101/96/973590c2c36d.jpg 3. http://s010.radikal.ru/i312/1101/94/0cc14ac3ce10.jpg 4. http://s40.radikal.ru/i089/1101/36/12041ddd8470.jpg 5. http://s40.radikal.ru/i090/1101/aa/d01cd7f602cc.jpg И вылез BSOD На диске С появилось следующее: 7. http://s002.radikal.ru/i200/1101/91/1f6433078fef.jpg В папке с названием ComboFix - содержимое Моего Компьютера. Переименование ComboFix не помогло, второй раз синего экрана ждать не стала ---------- Добавлено в 19:06 ---------- Предыдущее сообщение было написано в 16:46 ---------- Кстати, в первых скринах есть указание на Doctor Web, у меня никогда этот антивирус не стоял. С нова установлен KIS. Если что - как это это бяки (Doctor Web Anti-Virus) можно избавиться? ---------- Добавлено в 19:42 ---------- Предыдущее сообщение было написано в 19:06 ---------- Почитала руководство по применению ComboFix. Все сообщения, кроме тех, что про антивирус, оказывается, должны быть. Сканирование проходит до последнего этапа, т.е. 50 шагов сканирования на экране есть, а потом вылетает BSOD: Stop: 0х00000019 (0х00000020), 0х881F3438, 0х881F3850, 0х1А830022. Что делать??? Последний раз редактировалось Ветина; 20.01.2011 в 17:52.

21.01.2011, 03:35	#11 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('?.exe'); DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Попробуйте сделать лог ComboFix (если есть эмуляторы виртуальных дисков удалите).

21.01.2011, 19:48	#14 (ссылка)
Strage_297 Новичок Регистрация: 29.12.2010 Сообщений: 617 Репутация: 37	Выполните скрипт: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('catchme'); QuarantineFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\catchme.sys',''); DeleteFile('C:\DOCUME~1\ADMINS\LOCALS~1\Temp\catchme.sys'); DeleteService('catchme'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Повторите лог AVZ. В Combofix по прежнему не получается сделать лог? Следуйте инструкции, затем попытайтесь сделать лог CF. Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

19.01.2011, 12:46	#3 (ссылка)
Ветина Новичок Регистрация: 25.09.2010 Сообщений: 69 Репутация: 4	Направляю Скрипт № 2: http://exfile.ru/151124 Также:http://exfile.ru/151126 Остальное сделаю после работы

19.01.2011, 17:57	#4 (ссылка)
Ветина Новичок Регистрация: 25.09.2010 Сообщений: 69 Репутация: 4	К предыдущему посту: ЛОГ MBAM^ Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Версия базы данных: 5552 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 19.01.2011 18:54:48 mbam-log-2011-01-19 (18-54-38).txt Тип сканирования: Полное сканирование (C:\\|D:\\|E:\\|) Просканированные объекты: 267937 Времени прошло: 25 минут, 12 секунд Заражённые процессы в памяти: 0 Заражённые модули в памяти: 0 Заражённые ключи в реестре: 0 Заражённые параметры в реестре: 0 Объекты реестра заражены: 7 Заражённые папки: 0 Заражённые файлы: 6 Заражённые процессы в памяти: (Вредоносных программ не обнаружено) Заражённые модули в памяти: (Вредоносных программ не обнаружено) Заражённые ключи в реестре: (Вредоносных программ не обнаружено) Заражённые параметры в реестре: (Вредоносных программ не обнаружено) Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Заражённые папки: (Вредоносных программ не обнаружено) Заражённые файлы: c:\RECYCLER\s-1-5-21-1417001333-2052111302-682003330-1003\Dc1097.exe (Trojan.Dropper) -> No action taken. c:\WINDOWS\system32\oobe\antiwpa_crypt.dll (Hacktool) -> No action taken. d:\документы\принц персии\asx-pop3.exe (Malware.Packer.Gen) -> No action taken. e:\Фильмы\moo0_rightclicker_1.42\KeyGen's\KeyGen2. exe (RiskWare.Tool.CK) -> No action taken. e:\Фильмы\nero-7.5.9.0_rus_no_atb\Ключ.exe (RiskWare.Tool.CK) -> No action taken. c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.

19.01.2011, 18:31	#6 (ссылка)
Ветина Новичок Регистрация: 25.09.2010 Сообщений: 69 Репутация: 4	Спасибо за оперативность. Новый лог AVZ

20.01.2011, 07:22	#8 (ссылка)
Ветина Новичок Регистрация: 25.09.2010 Сообщений: 69 Репутация: 4	Стандартный скрипт 2 Virustotal.com

20.01.2011, 07:45	#9 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Такой лог пришлите.

21.01.2011, 07:52	#12 (ссылка)
Ветина Новичок Регистрация: 25.09.2010 Сообщений: 69 Репутация: 4	С ComboFix ничего не получается, те же предупреждения на несуществующий Доктор Веб, в начале сканирования предупреждение об ошибке, а после сканирования - Синий Экран с теми же цифрами. Эмулятор удалила. Новый Скрипт 2

21.01.2011, 17:24	#13 (ссылка)
Ветина Новичок Регистрация: 25.09.2010 Сообщений: 69 Репутация: 4	АУ-у-у, откликнитесь кто-нибудь!

21.01.2011, 20:42	#15 (ссылка)
Ветина Новичок Регистрация: 25.09.2010 Сообщений: 69 Репутация: 4	С ComboFix ничего не получается. Выдаёт ошибку, а в по завершению сканирования вылетает Синий Экран. Инструкцию всю изучила, реестр весь перелазила, следов Dr.W не нашла. Да их и не может быть. Сразу после покупки я установила Касперского. AVZ info.txt log.txt

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
подозрение на вирус	Vladimir50	Безопасность	7	07.01.2011 18:30
подозрение на вирус	Виктор_ВладимировичЭ	Безопасность	4	02.12.2010 10:53
Подозрение на вирус	LeNox	Безопасность	9	01.12.2010 14:31
Подозрение на вирус	psyholirik87	Безопасность	6	26.09.2010 00:03
Подозрение на вирус	zodiak365	Безопасность	4	13.07.2010 11:34
Подозрение на вирус	piton331	Безопасность	3	08.07.2010 02:14
Подозрение на вирус(ы)	DONBASS	Безопасность	5	19.06.2010 02:23
Подозрение на вирус	Романыч	Безопасность	9	10.05.2010 18:48
Подозрение на вирус	Hantik	Безопасность	16	25.03.2010 20:48
Подозрение на вирус!	Aleks1981	Безопасность	7	25.01.2010 20:40
Подозрение на вирус.	diversant	Безопасность	14	28.04.2009 23:52

Ads