• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрение на вирус

Статус
В этой теме нельзя размещать новые ответы.

Евгений М

Активный пользователь
Сообщения
15
Реакции
0
Баллы
381
Доброго времени суток! Пожалуйста помогите разобраться. Последнее время комп стал зависать, снизилась скорость интернета. Звук иногда прерывистый становится. Флэшки, диски не видит, перезагрузка помогает, но не всегда. Сам создает ярлыки. Проверка Malwarebytes, Comodo ничего не нашли. Заранее спасибо.
 

Вложения

  • virusinfo_syscure.zip
    32.5 KB · Просмотры: 11
  • virusinfo_syscheck.zip
    30.1 KB · Просмотры: 2
  • info.txt
    31.9 KB · Просмотры: 2
  • log.txt
    34.3 KB · Просмотры: 5

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Евгений М, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
453
Здравствуйте, посмотрю логи.

Добавлено через 18 минут 10 секунд
Эти ip-адреса вам знакомы?
Код:
8.26.56.26
156.154.70.22

Обновите базы MBAM.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
 

Евгений М

Активный пользователь
Сообщения
15
Реакции
0
Баллы
381
К сожалению я не настолько разбираюсь, поэтому по ip-адресам ничего сказать не могу. Пожалуйста посмотрите лог.
 

Вложения

  • mbam-log-2012-06-13 (12-13-56).txt
    2.2 KB · Просмотры: 8

Евгений М

Активный пользователь
Сообщения
15
Реакции
0
Баллы
381
Наверно Comodo надо будет удалить? Логи приложил
 

Вложения

  • Extras.Txt
    46.3 KB · Просмотры: 1
  • OTL.Txt
    319.2 KB · Просмотры: 3

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
453
Отключите антивирусное ПО, запустите OTL.
Скопируйте/вставьте ниже написанный скрипт в поле Custom Scans/Fixes.
  • Код:
    :OTL
     @Alternate Data Stream - 99 bytes -> C:\ProgramData\TEMP:EC2246A6 
     @Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:C95B63DA 
     @Alternate Data Stream - 158 bytes -> C:\ProgramData\TEMP:D1B5B4F1 
     @Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:07BF512B 
     @Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:DFC5A2B2 
     @Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84 
     @Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:131C0EE9 
     @Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:193426B4 
     @Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:9F683177 
     @Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:8AB6C1D7 
     @Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:861A898F 
     @Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:4CF61E54 
     @Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:8173A019 
     @Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:580E04D8 
     @Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:793F316E 
     @Alternate Data Stream - 101 bytes -> C:\ProgramData\TEMP:2B99FE60
    
    :Commands
    [PURITY]
    [EMPTYTEMP]
    [REBOOT]
Нажмите на кнопку Run Fix.
ПК перезагрузится и откроется лог. Сохраните его и прикрепите к сообщению.

Файл ниже проверьте на VirusTotal
Код:
C:\Users\Валерия\AppData\Roaming\inst.exe
 

Евгений М

Активный пользователь
Сообщения
15
Реакции
0
Баллы
381
На VirusTotal ClamAV нашел вот что PUA.Win32.Packer.Msvcpp-1
 

Вложения

  • 06132012_214057.log
    3.8 KB · Просмотры: 6

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
453
Хорошо. В логах увидел следы ESET, может быть все проблемы из-за конфликтов двух антивирусов - ESET и Comodo? Удалите один, которым не пользуетесь и повторите лог OTL из сообщения 5.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,700
Реакции
5,979
Баллы
1,008
Евгений М, Здравствуйте!

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Валерия\AppData\Roaming\inst.exe','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
 

Евгений М

Активный пользователь
Сообщения
15
Реакции
0
Баллы
381
В логах увидел следы ESET, может быть все проблемы из-за конфликтов двух антивирусов - ESET и Comodo?
Антивирус ESET был удален. Не подскажите каким образом убрать следы? Боюсь удалю что-нибудь не то. Все следующие действия выполню.Спасибо
 

Евгений М

Активный пользователь
Сообщения
15
Реакции
0
Баллы
381
S.R. я остатки ESET удалил, запустил OTL, но после его работы создался почему-то только OTL.txt
 

Вложения

  • OTL.Txt
    306.1 KB · Просмотры: 8

Евгений М

Активный пользователь
Сообщения
15
Реакции
0
Баллы
381
Скрипты выполнены без ошибок, карантин отправил
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,700
Реакции
5,979
Баллы
1,008
Евгений М, архив с карантином пустой, пожалуйста файл C:\Users\Валерия\AppData\Roaming\inst.exe заархивируйте в zip архив с паролем virus и пришлите в карантин.
 

Евгений М

Активный пользователь
Сообщения
15
Реакции
0
Баллы
381
Прошу прощения, что-то не правильно получилось. Карантин переделал заново.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,700
Реакции
5,979
Баллы
1,008
Карантин переделал заново.
и куда его прислали , нигде не видно. нужно
Полученный архив quarantine.zip отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

а также можете пояснить, что означает
Сам создает ярлыки.

Добавлено через 8 минут 16 секунд
Выполите скрипт в AVZ

Код:
begin
SetAVZPMStatus(false);
RebootWindows(true);
end.

компьютер перезагрузится, после этого сделайте новый лог virusinfo_syscheck.zip

Добавлено через 17 минут 59 секунд
и вот эти файлики

Код:
C:\Users\Валерия\AppData\Local\d3d9caps.dat
C:\Users\Валерия\AppData\Roaming\wklnhst.dat

тоже пожалуйста проверьте на www.virustotal.com и пришли в карантин вместе с предыдущим.
 
Последнее редактирование:

Евгений М

Активный пользователь
Сообщения
15
Реакции
0
Баллы
381
Когда вставил флэшку, то под каждой папкой образовались ярлыки. Архив с карантином создается, но он опять ПУСТОЙ 22 байта размер. Лог прикрепляю
 

Вложения

  • virusinfo_syscheck.zip
    29.6 KB · Просмотры: 2

Евгений М

Активный пользователь
Сообщения
15
Реакции
0
Баллы
381
Код:
C:\Users\Валерия\AppData\Local\d3d9caps.dat
C:\Users\Валерия\AppData\Roaming\wklnhst.dat
эти файлы проверил - чисто
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,661
Баллы
753
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc ([email protected]), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу