• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Подозрение на вирус

Статус
В этой теме нельзя размещать новые ответы.

Евгений М

Активный пользователь
Сообщения
15
Симпатии
0
#1
Доброго времени суток! Пожалуйста помогите разобраться. Последнее время комп стал зависать, снизилась скорость интернета. Звук иногда прерывистый становится. Флэшки, диски не видит, перезагрузка помогает, но не всегда. Сам создает ярлыки. Проверка Malwarebytes, Comodo ничего не нашли. Заранее спасибо.
 

Вложения

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую Евгений М, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#3
Здравствуйте, посмотрю логи.

Добавлено через 18 минут 10 секунд
Эти ip-адреса вам знакомы?
Код:
8.26.56.26
156.154.70.22
Обновите базы MBAM.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
 

Евгений М

Активный пользователь
Сообщения
15
Симпатии
0
#4
К сожалению я не настолько разбираюсь, поэтому по ip-адресам ничего сказать не могу. Пожалуйста посмотрите лог.
 

Вложения

Евгений М

Активный пользователь
Сообщения
15
Симпатии
0
#6
Наверно Comodo надо будет удалить? Логи приложил
 

Вложения

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#7
Отключите антивирусное ПО, запустите OTL.
Скопируйте/вставьте ниже написанный скрипт в поле Custom Scans/Fixes.
  • Код:
    :OTL
     @Alternate Data Stream - 99 bytes -> C:\ProgramData\TEMP:EC2246A6 
     @Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:C95B63DA 
     @Alternate Data Stream - 158 bytes -> C:\ProgramData\TEMP:D1B5B4F1 
     @Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:07BF512B 
     @Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:DFC5A2B2 
     @Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84 
     @Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:131C0EE9 
     @Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:193426B4 
     @Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:9F683177 
     @Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:8AB6C1D7 
     @Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:861A898F 
     @Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:4CF61E54 
     @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:8173A019 
     @Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:580E04D8 
     @Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:793F316E 
     @Alternate Data Stream - 101 bytes -> C:\ProgramData\TEMP:2B99FE60
    
    :Commands
    [PURITY]
    [EMPTYTEMP]
    [REBOOT]
Нажмите на кнопку Run Fix.
ПК перезагрузится и откроется лог. Сохраните его и прикрепите к сообщению.

Файл ниже проверьте на VirusTotal
Код:
C:\Users\Валерия\AppData\Roaming\inst.exe
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#9
Хорошо. В логах увидел следы ESET, может быть все проблемы из-за конфликтов двух антивирусов - ESET и Comodo? Удалите один, которым не пользуетесь и повторите лог OTL из сообщения 5.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,910
Симпатии
5,618
#10
Евгений М, Здравствуйте!

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Валерия\AppData\Roaming\inst.exe','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 

Евгений М

Активный пользователь
Сообщения
15
Симпатии
0
#11
В логах увидел следы ESET, может быть все проблемы из-за конфликтов двух антивирусов - ESET и Comodo?
Антивирус ESET был удален. Не подскажите каким образом убрать следы? Боюсь удалю что-нибудь не то. Все следующие действия выполню.Спасибо
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,402
Симпатии
4,879

Евгений М

Активный пользователь
Сообщения
15
Симпатии
0
#13
S.R. я остатки ESET удалил, запустил OTL, но после его работы создался почему-то только OTL.txt
 

Вложения

  • 306.1 KB Просмотры: 8

Евгений М

Активный пользователь
Сообщения
15
Симпатии
0
#14
Скрипты выполнены без ошибок, карантин отправил
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,910
Симпатии
5,618
#15
Евгений М, архив с карантином пустой, пожалуйста файл C:\Users\Валерия\AppData\Roaming\inst.exe заархивируйте в zip архив с паролем virus и пришлите в карантин.
 

Евгений М

Активный пользователь
Сообщения
15
Симпатии
0
#16
Прошу прощения, что-то не правильно получилось. Карантин переделал заново.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,910
Симпатии
5,618
#17
и куда его прислали , нигде не видно. нужно
Полученный архив quarantine.zip отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
а также можете пояснить, что означает
Добавлено через 8 минут 16 секунд
Выполите скрипт в AVZ

Код:
begin
SetAVZPMStatus(false);
RebootWindows(true);
end.
компьютер перезагрузится, после этого сделайте новый лог virusinfo_syscheck.zip

Добавлено через 17 минут 59 секунд
и вот эти файлики

Код:
C:\Users\Валерия\AppData\Local\d3d9caps.dat
C:\Users\Валерия\AppData\Roaming\wklnhst.dat
тоже пожалуйста проверьте на www.virustotal.com и пришли в карантин вместе с предыдущим.
 
Последнее редактирование:

Евгений М

Активный пользователь
Сообщения
15
Симпатии
0
#18
Когда вставил флэшку, то под каждой папкой образовались ярлыки. Архив с карантином создается, но он опять ПУСТОЙ 22 байта размер. Лог прикрепляю
 

Вложения

Евгений М

Активный пользователь
Сообщения
15
Симпатии
0
#19
Код:
C:\Users\Валерия\AppData\Local\d3d9caps.dat
C:\Users\Валерия\AppData\Roaming\wklnhst.dat
эти файлы проверил - чисто
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,706
#20
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
 
Статус
В этой теме нельзя размещать новые ответы.