Решена Подозрение на вирус

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Евгений М, 12 июн 2012.

Статус темы:
Закрыта.
  1. Евгений М
    Оффлайн

    Евгений М Пользователь

    Сообщения:
    15
    Симпатии:
    0
    Доброго времени суток! Пожалуйста помогите разобраться. Последнее время комп стал зависать, снизилась скорость интернета. Звук иногда прерывистый становится. Флэшки, диски не видит, перезагрузка помогает, но не всегда. Сам создает ярлыки. Проверка Malwarebytes, Comodo ничего не нашли. Заранее спасибо.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      32,5 КБ
      Просмотров:
      11
    • virusinfo_syscheck.zip
      Размер файла:
      30,1 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      31,9 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      34,3 КБ
      Просмотров:
      5
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Евгений М, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Здравствуйте, посмотрю логи.

    Добавлено через 18 минут 10 секунд
    Эти ip-адреса вам знакомы?
    Код (Text):
    8.26.56.26
    156.154.70.22
     
    Обновите базы MBAM.
    Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
    После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
     
  4. Евгений М
    Оффлайн

    Евгений М Пользователь

    Сообщения:
    15
    Симпатии:
    0
    К сожалению я не настолько разбираюсь, поэтому по ip-адресам ничего сказать не могу. Пожалуйста посмотрите лог.
     

    Вложения:

  5. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
  6. Евгений М
    Оффлайн

    Евгений М Пользователь

    Сообщения:
    15
    Симпатии:
    0
    Наверно Comodo надо будет удалить? Логи приложил
     

    Вложения:

    • OTL.Txt
      Размер файла:
      319,2 КБ
      Просмотров:
      3
    • Extras.Txt
      Размер файла:
      46,3 КБ
      Просмотров:
      1
  7. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Отключите антивирусное ПО, запустите OTL.
    Скопируйте/вставьте ниже написанный скрипт в поле Custom Scans/Fixes.
    • Код (Text):

      :OTL
       @Alternate Data Stream - 99 bytes -> C:\ProgramData\TEMP:EC2246A6
       @Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:C95B63DA
       @Alternate Data Stream - 158 bytes -> C:\ProgramData\TEMP:D1B5B4F1
       @Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:07BF512B
       @Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:DFC5A2B2
       @Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
       @Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:131C0EE9
       @Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:193426B4
       @Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:9F683177
       @Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:8AB6C1D7
       @Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:861A898F
       @Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:4CF61E54
       @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:8173A019
       @Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:580E04D8
       @Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:793F316E
       @Alternate Data Stream - 101 bytes -> C:\ProgramData\TEMP:2B99FE60

      :Commands
      [PURITY]
      [EMPTYTEMP]
      [REBOOT]
       
    Нажмите на кнопку Run Fix.
    ПК перезагрузится и откроется лог. Сохраните его и прикрепите к сообщению.

    Файл ниже проверьте на VirusTotal
    Код (Text):
    C:\Users\Валерия\AppData\Roaming\inst.exe
     
  8. Евгений М
    Оффлайн

    Евгений М Пользователь

    Сообщения:
    15
    Симпатии:
    0
    На VirusTotal ClamAV нашел вот что PUA.Win32.Packer.Msvcpp-1
     

    Вложения:

  9. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Хорошо. В логах увидел следы ESET, может быть все проблемы из-за конфликтов двух антивирусов - ESET и Comodo? Удалите один, которым не пользуетесь и повторите лог OTL из сообщения 5.
     
    1 человеку нравится это.
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Евгений М, Здравствуйте!

    Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код (Text):

    begin
     ClearQuarantine;
     QuarantineFile('C:\Users\Валерия\AppData\Roaming\inst.exe','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    Полученный архив quarantine.zip отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
     
    1 человеку нравится это.
  11. Евгений М
    Оффлайн

    Евгений М Пользователь

    Сообщения:
    15
    Симпатии:
    0
    В логах увидел следы ESET, может быть все проблемы из-за конфликтов двух антивирусов - ESET и Comodo?
    Антивирус ESET был удален. Не подскажите каким образом убрать следы? Боюсь удалю что-нибудь не то. Все следующие действия выполню.Спасибо
     
  12. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.038
    Симпатии:
    4.478
    1 человеку нравится это.
  13. Евгений М
    Оффлайн

    Евгений М Пользователь

    Сообщения:
    15
    Симпатии:
    0
    S.R. я остатки ESET удалил, запустил OTL, но после его работы создался почему-то только OTL.txt
     

    Вложения:

    • OTL.Txt
      Размер файла:
      306,1 КБ
      Просмотров:
      8
  14. Евгений М
    Оффлайн

    Евгений М Пользователь

    Сообщения:
    15
    Симпатии:
    0
    Скрипты выполнены без ошибок, карантин отправил
     
  15. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Евгений М, архив с карантином пустой, пожалуйста файл C:\Users\Валерия\AppData\Roaming\inst.exe заархивируйте в zip архив с паролем virus и пришлите в карантин.
     
  16. Евгений М
    Оффлайн

    Евгений М Пользователь

    Сообщения:
    15
    Симпатии:
    0
    Прошу прощения, что-то не правильно получилось. Карантин переделал заново.
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    и куда его прислали , нигде не видно. нужно
    а также можете пояснить, что означает
    Добавлено через 8 минут 16 секунд
    Выполите скрипт в AVZ

    Код (Text):
    begin
    SetAVZPMStatus(false);
    RebootWindows(true);
    end.
    компьютер перезагрузится, после этого сделайте новый лог virusinfo_syscheck.zip

    Добавлено через 17 минут 59 секунд
    и вот эти файлики

    Код (Text):

    C:\Users\Валерия\AppData\Local\d3d9caps.dat
    C:\Users\Валерия\AppData\Roaming\wklnhst.dat
    тоже пожалуйста проверьте на www.virustotal.com и пришли в карантин вместе с предыдущим.
     
    Последнее редактирование: 15 июн 2012
    1 человеку нравится это.
  18. Евгений М
    Оффлайн

    Евгений М Пользователь

    Сообщения:
    15
    Симпатии:
    0
    Когда вставил флэшку, то под каждой папкой образовались ярлыки. Архив с карантином создается, но он опять ПУСТОЙ 22 байта размер. Лог прикрепляю
     

    Вложения:

  19. Евгений М
    Оффлайн

    Евгений М Пользователь

    Сообщения:
    15
    Симпатии:
    0
    Код (Text):

    C:\Users\Валерия\AppData\Local\d3d9caps.dat
    C:\Users\Валерия\AppData\Roaming\wklnhst.dat
    эти файлы проверил - чисто
     
  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код (Text):
      tdsskiller.exe -silent -qmbr -qboot
    3. Запустите файл fix.bat;
    4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
    6. Запустите файл TDSSKiller.exe;
    7. Нажмите кнопку "Начать проверку";
    8. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    13. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
     
    1 человеку нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей