Решена Подозрительная активность на компе

Тема в разделе "Лечение компьютерных вирусов", создана пользователем TavapHяk, 11 мар 2012.

Статус темы:
Закрыта.
  1. TavapHяk
    Оффлайн

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Проблемой раньше на компе у друга был Virtumod из 3 файлов, который я удалил, но всеравно что-то там не так было по HJT.
    Проблемы кончились, но не надолго.
    Опять начались проблемы. Винда загружается с 4 раза.
    Рутпел и Револьвер запускаться никак не хотят. TDSSkiller, МБАМ, CureIT - ничего не нашли.
    Я исправляю "Нарушена ассоциация REG файлов" - все в норме. Проверяю опять - все на месте :(
    Выкладываю логи...
    Вот еще один.
    Помогите, плиз, я уже не знаю чем искать.
     

    Вложения:

  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую TavapHяk, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. TavapHяk
    Оффлайн

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Да, забыл сказать. В первой проверке с Виртумодом, AVZ глючил, даже при исправлении проблем. В этот раз AVZ нормально работает, но вот проблемы исправлять не может.
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Подготовьте лог UVS

    Выполните скрипт UVS и пришлите карантин
    Код (Text):

    ;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    breg
    delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\6MVVELEV.SYS
    deltmp
    delnfr
    restart
     
    После выполнения скрипта компьютер перезагрузится.

    C:\Windows\System32\svchost.exe - проверить на VT

    Больше не вижу к чему придраться.
    http://safezone.cc/threads/pri-proverke-skanirovanie-ostanavlivaetsja-na-44-i-sbrasyvaetsja.5209/ - проверяем систему.
     
    Последнее редактирование: 18 мар 2016
    1 человеку нравится это.
  5. TavapHяk
    Оффлайн

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Винда загрузилась с 6 раза. Проверил журналы в антивирусном продукте - чисто. Интернет не очень работает там. Завтра OTL проверю, может что найдет, а пока GSI посмотрю. Другу сказал, чтобы попробывал системные файлы исправить.

    На Джотти только работал, залил туда. Авира только знает.

    2012-03-11 GEN/PwdRAR

    Завтра проверю.
     
  6. TavapHяk
    Оффлайн

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Сделал, как сказали. Пока комп не выключали, поэтому не могу сказать, как грузится. В данный момент проверяю Тулкитом от eScan. Нашел пока 2 критических объекта и 2 ошибки. Уже найден вирус и он убит.
    Когда eScan Тулкит закончил и комп перезагрузился с первого раза зашел в винду.
    Комп работает быстро, но у меня такой вопрос, т.к. не знаю можно ли удалять или нет. По GSI, говорит, что там есть остатки от антивирусов, которыми друг не пользовался и не ставил даже. Можно ли удалять это или нельзя? Может ли это быть причиной глюков? Что с этим делать?
    Проблема с Нарушена ассоциация REG файлов осталась, все также.

    Код (Text):


      C:\Users\user\AppData\Local\Temp\avcbd32.dll  -> Active Virus Control - BitDefender Components

      C:\Users\user\AppData\Local\Temp\avccore.dll  -> BitDefender Active Virus Control Communications Library

      C:\Users\user\AppData\Local\Temp\avcuf32.dll  -> BitDefender Active Virus Control Usermode Filtering Library

      C:\Users\user\AppData\Local\Temp\avcuf64.dll  -> BitDefender Active Virus Control Usermode Filtering Library

      C:\Users\user\AppData\Local\Temp\avxdisk.dll  -> BitDefender Core

      C:\Users\user\AppData\Local\Temp\bdc.exe  -> BitDefender Console Scanner

      C:\Users\user\AppData\Local\Temp\bdcore.dll  -> BitDefender Core

      C:\Users\user\AppData\Local\Temp\bdfltlib.dll  -> AntiVirus FS filter library with COM

      C:\Users\user\AppData\Local\Temp\bdfltlib2k.dll  -> AntiVirus FS filter library with COM

      C:\Users\user\AppData\Local\Temp\bdnimbus.dll  -> bdnimbus.dll

      C:\Users\user\AppData\Local\Temp\clean.bat  ->

      C:\Users\user\AppData\Local\Temp\encdec.dll  -> Encryption - Decryption - Unzip

      C:\Users\user\AppData\Local\Temp\erootdrv.sys  -> Rootkit Detector

      C:\Users\user\AppData\Local\Temp\esupdate.exe  -> eScan and MailScan offline Updater

      C:\Users\user\AppData\Local\Temp\FSSync.dll  -> FSSYNC.DLL

      C:\Users\user\AppData\Local\Temp\Getvlist.exe  -> Get VirusList

      C:\Users\user\AppData\Local\Temp\ikave.dll  -> ikave Module

      C:\Users\user\AppData\Local\Temp\ipc.dll  -> Interprocess Communication Library

      C:\Users\user\AppData\Local\Temp\kave.dll  -> kave

      C:\Users\user\AppData\Local\Temp\kavvlg.dll  -> kavvlg Module

      C:\Users\user\AppData\Local\Temp\mexe.com  -> MicroWorld Anti Virus & Spyware Toolkit Utility

      C:\Users\user\AppData\Local\Temp\msvclnt.dll  -> Virus Scanning Client DLL

      C:\Users\user\AppData\Local\Temp\msvl64.dll  -> 64-Bit and Vista Scanning Interface

      C:\Users\user\AppData\Local\Temp\msvlclnt.dll  -> Scanner Interface

      C:\Users\user\AppData\Local\Temp\mwavdwnl.exe  -> eScan Downloader

      C:\Users\user\AppData\Local\Temp\MWAVL.exe  -> MWAV License Agreement

      C:\Users\user\AppData\Local\Temp\mwunzip.dll  -> Encryption - Decryption - Unzip
     
     
  7. TavapHяk
    Оффлайн

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Лог забыл от eScan. Может там что-то будет по проблеме?
     

    Вложения:

    • MWAV.LOG
      Размер файла:
      96 КБ
      Просмотров:
      4
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    В том то и вопрос, что активного ничего не видно.


    Подробнее об этом.
     
    1 человеку нравится это.
  9. TavapHяk
    Оффлайн

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    На обычных компах в логе HJT столько служб windows еще не видел нигде.
    А тут постоянно такое. Думаю, что дело либо в самой винде, либо в компе. Скорей всего в компе, т.к. у некоторых с этой виндой нету столько служб винды.

    Я не видел, но друг сказал, что винда не поднимается. После пары перезагрузок поднялась с 4 раза. Потом вообще с 6 раза загрузилась.
    После проверки eScan Тулкит, после окончания сканирования, комп перезагрузился. Винда загрузилась с первого раза. eScan нашел 2 объекта. Видимо заблокировал после чего винда загрузилась.
    Друг сегодня сказал, что комп работает хорошо, но я считаю, что это временно. Пока не будет исправлена проблема, то рано радоваться. Как исправить, не знаю.

    Нарушена ассоциация REG файлов. Это как было на месте, так и не хочет исправляться. Предполагаю, что свежий Virtumod (4 марта) сильно постарался. Видимо поэтому и проблемы.
    Тогда детектил все 3 файла только Доктор Веб - Trojan.Virtumod.11321. Сегодня детекты подтянулись 15/43, т.к. в момент обнаружения я сразу отправил на ВТ.
    Я бы те 2 файла не нашел, но меня что-то дернуло посмотреть в ту папку, где был обнаружен 1 файл Виртумода. Зашел, а там еще 2 файла. Случайно просто повезло.

    Откуда влез Виртумод? Его дочка смотрела телик в Интернете. Остальное я уже в журнале CIS нашел. CIS ругнулся 2 раза - она разрешила. После чего вирус влез в комп, использовав тулбар, как прикрытие. Потом ругнулся антивирус - она удалила, но было поздно 3 файла уже были на компе.
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Создайте любой reg файл. Запустился нормально? Значит проблема в AVZ.

    Лог MBAM свежий можно увидеть?
     
    1 человеку нравится это.
  11. TavapHяk
    Оффлайн

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Код (Text):
    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Database version: v2012.03.14.04

    Windows 7 Service Pack 1 x86 NTFS
    Internet Explorer 9.0.8112.16421
    user :: USER-PC [administrator]

    14/03/2012 19:31:30
    mbam-log-2012-03-14 (19-31-30).txt

    Scan type: Quick scan
    Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
    Scan options disabled: P2P
    Objects scanned: 169904
    Time elapsed: 4 minute(s), 29 second(s)

    Memory Processes Detected: 0
    (No malicious items detected)

    Memory Modules Detected: 0
    (No malicious items detected)

    Registry Keys Detected: 0
    (No malicious items detected)

    Registry Values Detected: 0
    (No malicious items detected)

    Registry Data Items Detected: 0
    (No malicious items detected)

    Folders Detected: 0
    (No malicious items detected)

    Files Detected: 0
    (No malicious items detected)

    (end)
     
    Создал, запустил. Похоже проблема в AVZ.
    Вопросов больше нет.
    Спасибо за помощь!
     
Статус темы:
Закрыта.

Поделиться этой страницей