Jump to content

Подозрение на присутствие вируса


Recommended Posts

начало вылезать сообщение при запуске системы "Ошибка при запуске модуля RUNDLL.exe". AVZ при проверке сказал что модифицирован запуск оболочки. проверил - действительно к запуску explorer.exe была добавлена строка "dfci.yqo" ссылающаяся на какой-то файла в системной директории.

virusinfo_syscure.htm

virusinfo_syscheck.htm

info.txt

log.txt

virusinfo_syscure.htm

virusinfo_syscheck.htm

info.txt

log.txt

Link to comment
Share on other sites

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('c:\Recycled\esihdrv.sys','');DeleteService('esihdrv');DeleteFile('c:\Recycled\esihdrv.sys');DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполните скрипт в AVZ

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Link to comment
Share on other sites

Плюс дополнительно к предыдущему выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Megaupload_MegaManager\MegaIEMn.dll','');QuarantineFile('D:\PROGRAMM\Temp\setfsb_2_2_128_94\WinRing0.sys','');QuarantineFile('C:\WINDOWS\system32\GkSui18.EXE','');QuarantineFile('C:\WINDOWS\DUMP3fc8.tmp','');QuarantineFile('C:\Documents and Settings\Alexei\Application Data\ezpinst.exe','');QuarantineFile('C:\Recycled\HTT1D6B.tmp','');QuarantineFile('C:\Recycled\HTT1BF5.tmp','');QuarantineFile('C:\Recycled\fla1BF6.tmp','');DeleteFile('C:\Program Files\Megaupload_MegaManager\MegaIEMn.dll');DeleteFile('C:\WINDOWS\DUMP3fc8.tmp');DeleteFile('C:\Documents and Settings\Alexei\Application Data\ezpinst.exe');DeleteFile('C:\Recycled\HTT1D6B.tmp');DeleteFile('C:\Recycled\HTT1BF5.tmp');DeleteFile('C:\Recycled\fla1BF6.tmp');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(9);ExecuteRepair(13);ExecuteRepair(16);RebootWindows(true);end.

Плюс

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Edited by edde
Link to comment
Share on other sites

Полученный ответ сообщите здесь.

а если у меня архив 7+ метров? а на сайте написано макс. 6 - как быть?

после выполнения указанных скриптов перестало открываться вообще что-либо - говорит что нет прав. не запускается ни одна программа, ни один элемент из панели управления.

Link to comment
Share on other sites

после выполнения указанных скриптов перестало открываться вообще что-либо - говорит что нет прав. не запускается ни одна программа, ни один элемент из панели управления.

хотя вот второй раз перезагрузился - вроде все норм, странно в общем. сейчас сделаю логи.

Воспользоваться архиватором, например...

зачем второй раз архивировать архив??? там как было 7.8 МБ, так и осталось:)))

Link to comment
Share on other sites

вот новые логи

вот что пишет сайт http://support.kaspersky.ru/virlab/helpdesk.html при попытке загрузить файл: 413 Request Entity Too Large. пытался загрузить карантин AVZ по частям размером 3-4 МБ.

virusinfo_syscheck.htm

virusinfo_syscure.htm

virusinfo_syscheck.htm

virusinfo_syscure.htm

Link to comment
Share on other sites

вот лог сканирования Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.44

Версия базы данных: 3821

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

03.03.2010 21:27:02

mbam-log-2010-03-03 (21-26-52).txt

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 397438

Прошло времени: 54 minute(s), 17 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 5

Заражено значений реестра: 1

Заражено параметров реестра: 0

Заражено папок: 2

Заражено файлов: 14

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Заражено значений реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

Заражено папок:

C:\Documents and Settings\Alexei\Application Data\FieryAds (Adware.FieryAds) -> No action taken.

C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Заражено файлов:

Z:\autorun.inf (Worm.Agent.H) -> No action taken.

C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> No action taken.

C:\Documents and Settings\Alexei\Local Settings\Temporary Internet Files\Content.IE5\EDYTWPOF\z002103318r0019J10000601R3bb4049fXbc70486eYf7f90abaZ04f025530[1] (Trojan.Downloader) -> No action taken.

C:\Program Files\Total Commander\Utils\SFX Tool\Upack.exe (Malware.Packer) -> No action taken.

C:\Program Files\ABBYY FineReader 8.0 Professional Edition\fr8.1.3.patch.exe (Malware.Packer) -> No action taken.

C:\Program Files\WebMoney Keeper Classik\WebMoney.exe (Spyware.WebMoney) -> No action taken.

C:\Recycled\A67.tmp (Backdoor.Bot) -> No action taken.

D:\PROGRAMM\SOFT FOR PDA\Soft для кпк_2008_2009\Игры\TOYSPRING 3D Mines v1.2 - Игры - КПК\Keygen.exe (Trojan.Downloader) -> No action taken.

D:\PROGRAMM\System\Bye-bye WPA\AntiWPA_Crypt.dll (Hacktool) -> No action taken.

D:\PROGRAMM\System\Bye-bye WPA\wpa_kill\AntiWPA_Crypt.dll (Hacktool) -> No action taken.

C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.

C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.

C:\Documents and Settings\Alexei\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.

C:\WINDOWS\system32\d3dx10d.dll (Trojan.FakeAlert) -> No action taken.

Link to comment
Share on other sites

D:\PROGRAMM\Temp\setfsb_2_2_128_94 ваша программа?

Выполните дополнительно скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('Z:\autorun.inf','');QuarantineFile('C:\Recycled\A67.tmp','');QuarantineFile('C:\Documents and Settings\Alexei\Application Data\fieryads.dat','');QuarantineFile('C:\WINDOWS\system32\d3dx10d.dll','');DeleteFile('Z:\autorun.inf');DeleteFile('C:\Recycled\A67.tmp');DeleteFile('C:\Documents and Settings\Alexei\Application Data\fieryads.dat');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится

выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет создан Quarantine.zip прикрепите его к почтовому сообщению и вышлите на адрес myedde@mail.ru

Что с проблемами?

Edited by edde
Link to comment
Share on other sites

+ к edde

Удалите в МВАМ

Заражено ключей реестра:HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.Заражено значений реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.Заражено папок:C:\Documents and Settings\Alexei\Application Data\FieryAds (Adware.FieryAds) -> No action taken.C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.Заражено файлов:C:\Documents and Settings\Alexei\Local Settings\Temporary Internet Files\Content.IE5\EDYTWPOF\z002103318r0019J10000601R3bb4049fXbc70486eYf7f90abaZ04f025530[1] (Trojan.Downloader) -> No action taken.C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.

Новый лог МВАМ сделайте тоже

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...