Вирусы были, возможно и еще есть

Kluvonog · 18.09.2011, 18:59

Приветствую, вирусы разные бегали на этом ноуте. И даже после проверки тремя антивирусами там еще что-то болталось в процессах и автозапуске. Кое-что поудалял, кое-что отключил. Сейчас вроде все уже около дела, но если взгляните на логи - буду признателен.

virusinfo_syscure.zip
hijackthis.log

С уважением, Сергей.

Lexer · 18.09.2011, 19:06

Добрый вечер.

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,C:\Documents and Settings\в\fswagz.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,C:\Documents and Settings\в\fswagz.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите файл лога virusinfo_syscheck.zip

+ сделайте такой лог http://pchelpforum.ru/showpost.php?p=206554&postcount=5

Kluvonog · 18.09.2011, 20:06

Большое спасибо, что так быстро ответили!

virusinfo_syscheck.zip
mbam-log-2011-09-18 (18-59-39).txt

С уважением, Сергей.

maksimog · 19.09.2011, 10:59

В программе МБАМ оставить только вот это

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Остальное удалить, ПК перезагрузить.
Что с проблемой?

Kluvonog · 19.09.2011, 12:08

Спасибо за помощь!

Цитата:

Сообщение от maksimog

Что с проблемой?

Начну издалека: проверил двумя антивирусами, но ноут всё равно подтормаживал. Отключил винт, подключил к компу и проверил каспером. Нашёл кое-что и удалил. Ещё были тормоза. Пошёл смотреть в яндексе по процессам из диспетчера - нашёл некоторые подозрительные. Отключил восстановление системы и еще раз проверил отключенный винт каспером (опять нашёл дрянь какую-то). Вот из истории каспера первая и вторая проверки:
Удалено троянская программа Trojan.Win32.VBKrypt.gkek H:\Documents and Settings\в\Application Data\6F.tmp 15.09.2011 9:27:06
Удалено троянская программа Trojan.Win32.VBKrypt.gkdh H:\Documents and Settings\в\Application Data\70.tmp 15.09.2011 9:27:07
Удалено троянская программа Trojan.Win32.VBKrypt.gkfv H:\Documents and Settings\в\Application Data\71.tmp 15.09.2011 9:27:09
Удалено троянская программа Trojan.Win32.VBKrypt.gkek H:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe 15.09.2011 9:50:50
Удалено троянская программа Trojan.Win32.VBKrypt.gkdh H:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe 15.09.2011 9:50:51
Удалено троянская программа Trojan.Win32.VBKrypt.gkfv H:\WINDOWS\aadrive32.exe 15.09.2011 9:58:23
Удалено вирус HEUR:Trojan.Win32.Generic (модификация) H:\Documents and Settings\в\Local Settings\Temp\72.tmp.exe 16.09.2011 10:27:11
Удалено вирус HEUR:Trojan.Win32.Generic (модификация) H:\Documents and Settings\в\Local Settings\Temp\72.tmp.exe//UPX 16.09.2011 10:27:11
Удалено вирус HEUR:Trojan.Win32.Generic (модификация) H:\Documents and Settings\в\Local Settings\Temp\ctfmon.exe 16.09.2011 10:27:11
Удалено вирус HEUR:Trojan.Win32.Generic (модификация) H:\Documents and Settings\в\Local Settings\Temp\ctfmon.exe//UPX 16.09.2011 10:27:11

Вроде стало полегче, ноут уже так не подвисает, но в автозапуске осталось что-то да и в процессах не все до конца понятно, вот и решил здесь у Вас помощи попросить.

А вышел на этот форум с яндекса по запросу "jushed.exe что это". Он же у меня в автозапуске висит - я его отключил.

Вот скрин автозапуска:
скрин

С уважением, Сергей.

Lexer · 19.09.2011, 12:14

Kluvonog, сделайте еще такой лог http://pchelpforum.ru/showpost.php?p=593305&postcount=3

Kluvonog · 19.09.2011, 12:34

Цитата:

Сообщение от Lexer

Kluvonog, сделайте еще такой лог http://pchelpforum.ru/showpost.php?p=593305&postcount=3

Архив тут

С уважением, Сергей.

Vvvyg · 19.09.2011, 13:50

Kluvonog, вирусов нет. У Вас удалена системная библиотека appmgmts.dll, скачайте архив по ссылке и распакуйте в папку c:\Windows\System32
После этого скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v3.71 script [http://dsrt.dyndns.org]

deltmp
delnfr
restart

Закройте все броузеры, выполните скрипт в uVS (меню -> скрипты -> выполнить из буфера обмена). Компьютер перезагрузится!

Kluvonog · 19.09.2011, 14:04

Спасибо, Lexer, maksimog, Vvvyg!

Очень облегчили мне жизнь и помогли молодой учительнице русского языка и литературы (её ноут).

С уважением.

18.09.2011, 18:59	#1 (ссылка)
Kluvonog Новичок Регистрация: 18.09.2011 Сообщений: 5 Репутация: 0	Вирусы были, возможно и еще есть Приветствую, вирусы разные бегали на этом ноуте. И даже после проверки тремя антивирусами там еще что-то болталось в процессах и автозапуске. Кое-что поудалял, кое-что отключил. Сейчас вроде все уже около дела, но если взгляните на логи - буду признателен. virusinfo_syscure.zip hijackthis.log С уважением, Сергей.

19.09.2011, 13:50	#8 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Kluvonog, вирусов нет. У Вас удалена системная библиотека appmgmts.dll, скачайте архив по ссылке и распакуйте в папку c:\Windows\System32 После этого скопируйте скрипт из окна "код" ниже в буфер обмена: Код: ;uVS v3.71 script [http://dsrt.dyndns.org] deltmp delnfr restart Закройте все броузеры, выполните скрипт в uVS (меню -> скрипты -> выполнить из буфера обмена). Компьютер перезагрузится! Последний раз редактировалось Vvvyg; 19.09.2011 в 14:06.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Есть подозрение на вирусы	kuzmich88	Безопасность	17	08.09.2011 11:19
посмотрите логи мож вирусы есть	kuzmich88	Безопасность	3	28.07.2011 11:27
ВОЗМОЖНО ВИРУСЫ!!!	Arturleon	Безопасность	5	11.07.2011 20:10
возможно вирусы?	z1mbabve	Windows XP	15	30.04.2011 22:24
Есть подозрения на вирусы, вот мой virusinfo_syscure.zip .	Lennyssik	Windows XP	1	11.03.2011 12:31
есть подозрение на вирусы	nail58	Безопасность	12	16.01.2011 23:09
Возможно это вирусы, см логи!	Мария ха	Безопасность	11	30.11.2010 13:00
Возможно вирусы, трояны	Valera2	Безопасность	8	23.11.2010 19:35
Есть подозрение на вирусы	nekto202	Безопасность	5	09.11.2010 01:24
Возможно вирусы!	razumnay	Безопасность	6	07.09.2010 18:46
Подскажите, есть ли вирусы?	irini	Безопасность	2	22.05.2010 23:10
Есть подозрение на вирусы	серый кот	Безопасность	9	25.01.2010 18:43

18.09.2011, 20:06	#3 (ссылка)
Kluvonog Новичок Регистрация: 18.09.2011 Сообщений: 5 Репутация: 0	Большое спасибо, что так быстро ответили! virusinfo_syscheck.zip mbam-log-2011-09-18 (18-59-39).txt С уважением, Сергей.

19.09.2011, 12:14	#6 (ссылка)
Lexer Мастер Регистрация: 24.10.2010 Сообщений: 4,156 Репутация: 513	Kluvonog, сделайте еще такой лог http://pchelpforum.ru/showpost.php?p=593305&postcount=3

19.09.2011, 14:04	#9 (ссылка)
Kluvonog Новичок Регистрация: 18.09.2011 Сообщений: 5 Репутация: 0	Спасибо, Lexer, maksimog, Vvvyg! Очень облегчили мне жизнь и помогли молодой учительнице русского языка и литературы (её ноут). С уважением.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads