Jump to content
СофтФорум - всё о компьютерах и не только

Подозрение на присутствие вируса


Recommended Posts

начало вылезать сообщение при запуске системы "Ошибка при запуске модуля RUNDLL.exe". AVZ при проверке сказал что модифицирован запуск оболочки. проверил - действительно к запуску explorer.exe была добавлена строка "dfci.yqo" ссылающаяся на какой-то файла в системной директории.

virusinfo_syscure.htm

virusinfo_syscheck.htm

info.txt

log.txt

virusinfo_syscure.htm

virusinfo_syscheck.htm

info.txt

log.txt

Link to comment
Share on other sites

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('c:\Recycled\esihdrv.sys','');DeleteService('esihdrv');DeleteFile('c:\Recycled\esihdrv.sys');DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполните скрипт в AVZ

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Link to comment
Share on other sites

Плюс дополнительно к предыдущему выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Megaupload_MegaManager\MegaIEMn.dll','');QuarantineFile('D:\PROGRAMM\Temp\setfsb_2_2_128_94\WinRing0.sys','');QuarantineFile('C:\WINDOWS\system32\GkSui18.EXE','');QuarantineFile('C:\WINDOWS\DUMP3fc8.tmp','');QuarantineFile('C:\Documents and Settings\Alexei\Application Data\ezpinst.exe','');QuarantineFile('C:\Recycled\HTT1D6B.tmp','');QuarantineFile('C:\Recycled\HTT1BF5.tmp','');QuarantineFile('C:\Recycled\fla1BF6.tmp','');DeleteFile('C:\Program Files\Megaupload_MegaManager\MegaIEMn.dll');DeleteFile('C:\WINDOWS\DUMP3fc8.tmp');DeleteFile('C:\Documents and Settings\Alexei\Application Data\ezpinst.exe');DeleteFile('C:\Recycled\HTT1D6B.tmp');DeleteFile('C:\Recycled\HTT1BF5.tmp');DeleteFile('C:\Recycled\fla1BF6.tmp');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(9);ExecuteRepair(13);ExecuteRepair(16);RebootWindows(true);end.

Плюс

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Edited by edde
Link to comment
Share on other sites

Полученный ответ сообщите здесь.

а если у меня архив 7+ метров? а на сайте написано макс. 6 - как быть?

после выполнения указанных скриптов перестало открываться вообще что-либо - говорит что нет прав. не запускается ни одна программа, ни один элемент из панели управления.

Link to comment
Share on other sites

после выполнения указанных скриптов перестало открываться вообще что-либо - говорит что нет прав. не запускается ни одна программа, ни один элемент из панели управления.

хотя вот второй раз перезагрузился - вроде все норм, странно в общем. сейчас сделаю логи.

Воспользоваться архиватором, например...

зачем второй раз архивировать архив??? там как было 7.8 МБ, так и осталось:)))

Link to comment
Share on other sites

вот новые логи

вот что пишет сайт http://support.kaspersky.ru/virlab/helpdesk.html при попытке загрузить файл: 413 Request Entity Too Large. пытался загрузить карантин AVZ по частям размером 3-4 МБ.

virusinfo_syscheck.htm

virusinfo_syscure.htm

virusinfo_syscheck.htm

virusinfo_syscure.htm

Link to comment
Share on other sites

вот лог сканирования Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.44

Версия базы данных: 3821

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

03.03.2010 21:27:02

mbam-log-2010-03-03 (21-26-52).txt

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 397438

Прошло времени: 54 minute(s), 17 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 5

Заражено значений реестра: 1

Заражено параметров реестра: 0

Заражено папок: 2

Заражено файлов: 14

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Заражено значений реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

Заражено папок:

C:\Documents and Settings\Alexei\Application Data\FieryAds (Adware.FieryAds) -> No action taken.

C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Заражено файлов:

Z:\autorun.inf (Worm.Agent.H) -> No action taken.

C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> No action taken.

C:\Documents and Settings\Alexei\Local Settings\Temporary Internet Files\Content.IE5\EDYTWPOF\z002103318r0019J10000601R3bb4049fXbc70486eYf7f90abaZ04f025530[1] (Trojan.Downloader) -> No action taken.

C:\Program Files\Total Commander\Utils\SFX Tool\Upack.exe (Malware.Packer) -> No action taken.

C:\Program Files\ABBYY FineReader 8.0 Professional Edition\fr8.1.3.patch.exe (Malware.Packer) -> No action taken.

C:\Program Files\WebMoney Keeper Classik\WebMoney.exe (Spyware.WebMoney) -> No action taken.

C:\Recycled\A67.tmp (Backdoor.Bot) -> No action taken.

D:\PROGRAMM\SOFT FOR PDA\Soft для кпк_2008_2009\Игры\TOYSPRING 3D Mines v1.2 - Игры - КПК\Keygen.exe (Trojan.Downloader) -> No action taken.

D:\PROGRAMM\System\Bye-bye WPA\AntiWPA_Crypt.dll (Hacktool) -> No action taken.

D:\PROGRAMM\System\Bye-bye WPA\wpa_kill\AntiWPA_Crypt.dll (Hacktool) -> No action taken.

C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.

C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.

C:\Documents and Settings\Alexei\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.

C:\WINDOWS\system32\d3dx10d.dll (Trojan.FakeAlert) -> No action taken.

Link to comment
Share on other sites

D:\PROGRAMM\Temp\setfsb_2_2_128_94 ваша программа?

Выполните дополнительно скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('Z:\autorun.inf','');QuarantineFile('C:\Recycled\A67.tmp','');QuarantineFile('C:\Documents and Settings\Alexei\Application Data\fieryads.dat','');QuarantineFile('C:\WINDOWS\system32\d3dx10d.dll','');DeleteFile('Z:\autorun.inf');DeleteFile('C:\Recycled\A67.tmp');DeleteFile('C:\Documents and Settings\Alexei\Application Data\fieryads.dat');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится

выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет создан Quarantine.zip прикрепите его к почтовому сообщению и вышлите на адрес myedde@mail.ru

Что с проблемами?

Edited by edde
Link to comment
Share on other sites

+ к edde

Удалите в МВАМ

Заражено ключей реестра:HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.Заражено значений реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.Заражено папок:C:\Documents and Settings\Alexei\Application Data\FieryAds (Adware.FieryAds) -> No action taken.C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.Заражено файлов:C:\Documents and Settings\Alexei\Local Settings\Temporary Internet Files\Content.IE5\EDYTWPOF\z002103318r0019J10000601R3bb4049fXbc70486eYf7f90abaZ04f025530[1] (Trojan.Downloader) -> No action taken.C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.

Новый лог МВАМ сделайте тоже

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...