• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрительная активность на компе

Статус
В этой теме нельзя размещать новые ответы.

TavapHяk

Активный пользователь
Сообщения
133
Реакции
8
Баллы
408
Проблемой раньше на компе у друга был Virtumod из 3 файлов, который я удалил, но всеравно что-то там не так было по HJT.
Проблемы кончились, но не надолго.
Опять начались проблемы. Винда загружается с 4 раза.
Рутпел и Револьвер запускаться никак не хотят. TDSSkiller, МБАМ, CureIT - ничего не нашли.
Я исправляю "Нарушена ассоциация REG файлов" - все в норме. Проверяю опять - все на месте :(
Выкладываю логи...
Вот еще один.
Помогите, плиз, я уже не знаю чем искать.
 

Вложения

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую TavapHяk, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

TavapHяk

Активный пользователь
Сообщения
133
Реакции
8
Баллы
408
Да, забыл сказать. В первой проверке с Виртумодом, AVZ глючил, даже при исправлении проблем. В этот раз AVZ нормально работает, но вот проблемы исправлять не может.
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Подготовьте лог UVS

Выполните скрипт UVS и пришлите карантин
Код:
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\6MVVELEV.SYS
deltmp
delnfr
restart
После выполнения скрипта компьютер перезагрузится.

C:\Windows\System32\svchost.exe - проверить на VT

Больше не вижу к чему придраться.
http://safezone.cc/threads/pri-proverke-skanirovanie-ostanavlivaetsja-na-44-i-sbrasyvaetsja.5209/ - проверяем систему.
 
Последнее редактирование:

TavapHяk

Активный пользователь
Сообщения
133
Реакции
8
Баллы
408
Винда загрузилась с 6 раза. Проверил журналы в антивирусном продукте - чисто. Интернет не очень работает там. Завтра OTL проверю, может что найдет, а пока GSI посмотрю. Другу сказал, чтобы попробывал системные файлы исправить.

C:\Windows\System32\svchost.exe - проверить на VT
На Джотти только работал, залил туда. Авира только знает.

2012-03-11 GEN/PwdRAR

Завтра проверю.
 

TavapHяk

Активный пользователь
Сообщения
133
Реакции
8
Баллы
408
Сделал, как сказали. Пока комп не выключали, поэтому не могу сказать, как грузится. В данный момент проверяю Тулкитом от eScan. Нашел пока 2 критических объекта и 2 ошибки. Уже найден вирус и он убит.
Когда eScan Тулкит закончил и комп перезагрузился с первого раза зашел в винду.
Комп работает быстро, но у меня такой вопрос, т.к. не знаю можно ли удалять или нет. По GSI, говорит, что там есть остатки от антивирусов, которыми друг не пользовался и не ставил даже. Можно ли удалять это или нельзя? Может ли это быть причиной глюков? Что с этим делать?
Проблема с Нарушена ассоциация REG файлов осталась, все также.

Код:
  C:\Users\user\AppData\Local\Temp\avcbd32.dll  -> Active Virus Control - BitDefender Components

  C:\Users\user\AppData\Local\Temp\avccore.dll  -> BitDefender Active Virus Control Communications Library

  C:\Users\user\AppData\Local\Temp\avcuf32.dll  -> BitDefender Active Virus Control Usermode Filtering Library

  C:\Users\user\AppData\Local\Temp\avcuf64.dll  -> BitDefender Active Virus Control Usermode Filtering Library

  C:\Users\user\AppData\Local\Temp\avxdisk.dll  -> BitDefender Core

  C:\Users\user\AppData\Local\Temp\bdc.exe  -> BitDefender Console Scanner

  C:\Users\user\AppData\Local\Temp\bdcore.dll  -> BitDefender Core

  C:\Users\user\AppData\Local\Temp\bdfltlib.dll  -> AntiVirus FS filter library with COM

  C:\Users\user\AppData\Local\Temp\bdfltlib2k.dll  -> AntiVirus FS filter library with COM

  C:\Users\user\AppData\Local\Temp\bdnimbus.dll  -> bdnimbus.dll

  C:\Users\user\AppData\Local\Temp\clean.bat  -> 

  C:\Users\user\AppData\Local\Temp\encdec.dll  -> Encryption - Decryption - Unzip

  C:\Users\user\AppData\Local\Temp\erootdrv.sys  -> Rootkit Detector

  C:\Users\user\AppData\Local\Temp\esupdate.exe  -> eScan and MailScan offline Updater

  C:\Users\user\AppData\Local\Temp\FSSync.dll  -> FSSYNC.DLL

  C:\Users\user\AppData\Local\Temp\Getvlist.exe  -> Get VirusList

  C:\Users\user\AppData\Local\Temp\ikave.dll  -> ikave Module

  C:\Users\user\AppData\Local\Temp\ipc.dll  -> Interprocess Communication Library

  C:\Users\user\AppData\Local\Temp\kave.dll  -> kave

  C:\Users\user\AppData\Local\Temp\kavvlg.dll  -> kavvlg Module

  C:\Users\user\AppData\Local\Temp\mexe.com  -> MicroWorld Anti Virus & Spyware Toolkit Utility

  C:\Users\user\AppData\Local\Temp\msvclnt.dll  -> Virus Scanning Client DLL

  C:\Users\user\AppData\Local\Temp\msvl64.dll  -> 64-Bit and Vista Scanning Interface

  C:\Users\user\AppData\Local\Temp\msvlclnt.dll  -> Scanner Interface

  C:\Users\user\AppData\Local\Temp\mwavdwnl.exe  -> eScan Downloader

  C:\Users\user\AppData\Local\Temp\MWAVL.exe  -> MWAV License Agreement

  C:\Users\user\AppData\Local\Temp\mwunzip.dll  -> Encryption - Decryption - Unzip
 

TavapHяk

Активный пользователь
Сообщения
133
Реакции
8
Баллы
408
Лог забыл от eScan. Может там что-то будет по проблеме?
 

Вложения

TavapHяk

Активный пользователь
Сообщения
133
Реакции
8
Баллы
408
На обычных компах в логе HJT столько служб windows еще не видел нигде.
А тут постоянно такое. Думаю, что дело либо в самой винде, либо в компе. Скорей всего в компе, т.к. у некоторых с этой виндой нету столько служб винды.

Я не видел, но друг сказал, что винда не поднимается. После пары перезагрузок поднялась с 4 раза. Потом вообще с 6 раза загрузилась.
После проверки eScan Тулкит, после окончания сканирования, комп перезагрузился. Винда загрузилась с первого раза. eScan нашел 2 объекта. Видимо заблокировал после чего винда загрузилась.
Друг сегодня сказал, что комп работает хорошо, но я считаю, что это временно. Пока не будет исправлена проблема, то рано радоваться. Как исправить, не знаю.

Нарушена ассоциация REG файлов. Это как было на месте, так и не хочет исправляться. Предполагаю, что свежий Virtumod (4 марта) сильно постарался. Видимо поэтому и проблемы.
Тогда детектил все 3 файла только Доктор Веб - Trojan.Virtumod.11321. Сегодня детекты подтянулись 15/43, т.к. в момент обнаружения я сразу отправил на ВТ.
Я бы те 2 файла не нашел, но меня что-то дернуло посмотреть в ту папку, где был обнаружен 1 файл Виртумода. Зашел, а там еще 2 файла. Случайно просто повезло.

Откуда влез Виртумод? Его дочка смотрела телик в Интернете. Остальное я уже в журнале CIS нашел. CIS ругнулся 2 раза - она разрешила. После чего вирус влез в комп, использовав тулбар, как прикрытие. Потом ругнулся антивирус - она удалила, но было поздно 3 файла уже были на компе.
 

TavapHяk

Активный пользователь
Сообщения
133
Реакции
8
Баллы
408
Код:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Database version: v2012.03.14.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
user :: USER-PC [administrator]

14/03/2012 19:31:30
mbam-log-2012-03-14 (19-31-30).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 169904
Time elapsed: 4 minute(s), 29 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
Создайте любой reg файл. Запустился нормально? Значит проблема в AVZ.
Создал, запустил. Похоже проблема в AVZ.
Вопросов больше нет.
Спасибо за помощь!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу