Решена Подозрение на вирус.

Статус
В этой теме нельзя размещать новые ответы.

Soras

Постоянный участник
Сообщения
108
Реакции
28
Здравствуйте!

Я хоть и студент этого ресурса, но тем не менее, чтобы не наломать дров на чужом компе обращаюсь к вам - спецам:)

Предположительно я могу назвать причину появления вируса...
Зашел на сайт скачать песню и: сначала появилось сообщение о крахе плагина адобэ, потом компьютер стал то-то думать и перезагрузился по собственной воле. Ну и вроде всё работает как и работал, да только что-то касперский не обновляется - пишет что сбой.
 

Вложения

  • virusinfo_syscheck.zip
    40 KB · Просмотры: 1
  • virusinfo_syscure.zip
    41.1 KB · Просмотры: 6
  • hijackthis.log
    11 KB · Просмотры: 2
Привет, сейчас погляжу

Добавлено через 5 минут 9 секунд
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('mkdrv', 4);
 StopService('mkdrv');
 QuarantineFile('\??\C:\WINDOWS\sisik.sys','');
 QuarantineFile('D:\Games\Мишины игры (max 5 гб)\PointBlank\Frost\frost.sys','');
 QuarantineFile('C:\WINDOWS\sisik.sys','');
 DeleteFile('C:\WINDOWS\sisik.sys');
 DeleteFile('\??\C:\WINDOWS\sisik.sys');
 DeleteService('mkdrv');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\sisik.sys');
 BC_DeleteSvc('mkdrv');
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 
Скрипт вроде отработал и комп ушел в BSOD. Только теперь проблема... касперский выдал сообщение о том что черный список лицензий поврежден и не хочет совсем обновляться - защита полностью у него отключена.
Сделал лог рсит, остальные логи делаю
Карантин отправил
 

Вложения

  • info.txt
    15.9 KB · Просмотры: 0
  • log.txt
    34.6 KB · Просмотры: 7
Такс вроде с касперским разобрался логи всё делаются=)
 
В процессе сканирования программой MBAM касперский начал ругаться на этот
C:\WINDOWS\sisik.sys - Rootkit.Win32.Qhost.fy Так и не отсканировав MBAM'ом мне пришлось перезагрузить комп. После перезагрузки касперский начал сканирование и нашел еще 4 вируса с аналогичными названиями, но только в других местах...сделал скриншот:)

А лог мбама сильно нужен, просто я бы мог сам чуть позже выполнить проверку??:)
 

Вложения

  • 1234.jpg
    1234.jpg
    25.4 KB · Просмотры: 69
  • virusinfo_syscheck.zip
    39.9 KB · Просмотры: 0
  • virusinfo_syscure.zip
    40.8 KB · Просмотры: 1
Последнее редактирование:
Такс вроде с касперским разобрался логи всё делаются=)

Ждем чего-то мы там уже в карантин наловили:

C:\WINDOWS\sisik.sys - Trojan.Hosts.5006 (Rootkit.Win32.Qhost.fy по Касперскому)

Добавлено через 6 минут 55 секунд
В процессе сканирования программой MBAM касперский начал ругаться на этот
C:\WINDOWS\sisik.sys - Rootkit.Win32.Qhost.fry Так и не отсканировав MBAM'ом мне пришлось перезагрузить комп. После перезагрузки касперский начал сканирование и нашел еще 4 вируса с аналогичными названиями, но только в других местах...сделал скриншот:)

А лог мбама сильно нужен, просто я бы мог сам чуть позже выполнить проверку??:)

Лог MBAMа желателен, но если сами справитесь, то хорошо, сейчас погляжу все остальное

Добавлено через 4 минуты 28 секунд
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\sdel.bat','');
 DeleteFile('C:\WINDOWS\sdel.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите лог RSIT
 
Последнее редактирование:
Карантин отправил, кажется тот же самый, хотя дата изменения настоящая.

Логи рсита сделал, только лог инфо не изменился.
 

Вложения

  • info.txt
    15.9 KB · Просмотры: 1
  • log.txt
    35.4 KB · Просмотры: 2
Вот теперь чисто.

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)
- установите Internet Explorer 8.0 (даже если им не пользуетесь) и все последние обновления для него.
- обновите до последней версии Adobe Flash Player
- обновите до последней версии Adobe Reader
- обновите до последней версии Java
 
Severnyj, спасибо большое.

Adobe Flash Player старенький оказался, компьютер то не мой, вот поэтому и проник вирь через него.)))

Вобщем проблем нет, можно со спокойной душой закрывать темку:)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу