» Помощь при лечении компьютера от вирусов

Цитата:

Описанное - нормальное поведение здоровой системы с файловой системой NTFS.

Вероятно я или антивирусы автоматом удалили вирус, а последствия остались.



Добавлено:
Erekle:

Цитата:

для System Volume Information надо ещё присвоить себе права на папку в её свойствах (вкладка "безопасность").

В Панели управления нет такой вкладки, нет и в Свойствах папки ни в Проводнике, а где она?
P.S. У других папок в Проводнике вкладки Безопасность тоже нет.

pingvin7

Цитата:

В Панели управления нет такой вкладки, нет и в Свойствах папки ни в Проводнике, а где она?
P.S. У других папок в Проводнике вкладки Безопасность тоже нет.

Почитай здесь: http://daxa.com.ua/forum/topic_windows/id33/

gjf

Цитата:

Kaile
Ничего вредоносного не обнаружено.

Проверил на сайте Касперского файл PKey.exe - результат - инфицирован тел вирус - PSWTool.Win32.ProductKey.b.

PSWTool:
Программы, позволяющие просматривать или восстанавливать забытые (часто — скрытые) пароли. С таким же успехом в подобных целях данный тип программ может быть использован злоумышленниками.

Или это не вирус? Если вирус, то как его побороть? - может вообще удалить этот файл PKey.exe из папки WINDOWS/System32. Или этот файл нужен для работы ОС, только он просто инфицирован (заражен) этой программой PSWTool и, если этот файл PKey.exe нужен для работы ОС, то его можно как-то вылечить?

Kaile
Это не вирус.

Понятно, спасибо. Странно для меня, что производитель этого файла 1.0.7.0. ProduKey, из системной папки (Microsoft) - NirSoft, а не Microsoft.

Я случайно под Администратором подключился к Интернету и сразу появились изменения в оформлении, которые исчезли после запуска Dr. Web CureIt и AVZ - которые ничего не нашли (они не нашли и старый безобидный вирус, который раньше находили в дистрибутиве и я предлагал его оставить (я его ни когда не трогал и не запускал)).

http://radikal.ru/F/s002.radikal.ru/i199/1103/95/7d1665f32991.jpg.html
такой вопрос-стоит Веб 6 с журнальным ключом,он постоянно блокирует сайт antiddos.biz,откуда этот сайт ко мне ломится,я туда не захожу,ничего Оперой не открываю,стоит перезагрузить любую страницу,он тут,как тут,Вебом проверял-ничего,что за фигня!!На скрине уже другой сайт ,их два.Тоесть вредный сайт пытается через себя пропускать нужный сайт.Куки и кешь чистил,в реестре один сайт нашёл удалил,но ничего непомагло.И ещё месяца два назад заметил,что исходящий трафик при загрузке страницы увеличелся,при закачке нет.
Скрипт,что в шапке всем подходит? и как здесь zip файлы крепить в сообщении?

zemlyanskik

Цитата:

Скрипт,что в шапке всем подходит? и как здесь zip файлы крепить в сообщении?

Подходит всем. Как крепить - почитайте внимательнее шапку. Не поможет - полистайте ветку. Не Вы первый.

http://ifolder.ru/22669712 День добрый всем.Сделал логи сейчас.
Вчера Вебом 6 проверил-ничего не нашёл,сегодня AVPTool-нашла,что-то,похоже кряки,но проблема осталась,как Веб блокировал вредные сайты,так и продолжает их не пускать-вопрос,почему они ко мне ломятся?
И я делал скипт в AVZ не отмечая галочкой диски-это нормально?И RSIT хотел в интернет влезть,но у меня модем был отключен вместе с брендмауэром-нужно ему обновиться?

zemlyanskik
Выполните скрипт:

Код: begin
QuarantineFile('C:\WINDOWS\system32\office.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Цитата:

Вы перед установкой DrWeb полностью удалили AVG?

Удалил и вручную ещё чистил..Всё отправил в http://support.kaspersky.ru/virlab/helpdesk.html#aform
уже первый,но неокончательный ответ получил- Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

bcqr00001.dat,
bcqr00002.dat,
office.exe

Вредоносный код в файлах не обнаружен.

screenhunter_01_mar._29_17.36.jpg,
screenhunter_04_mar._28_22.34.jpg,
info.txt,
log.txt,
virusinfo_syscure.htm,
avz_sysinfo.htm,
avz_sysinfo.xml

Файлы в процессе обработки.

С уважением, Лаборатория Касперского

zemlyanskik
Значит, всё чисто.

Цитата:

Значит, всё чисто.

А ваше мнение-если Веб блокирует вредные сайти,то кто делает запрос на них и выходит,что эти сайти пропускают нужные через себя,как анонимайзеры.

где-то пару недель назад на сайте Касперского наткнулся на "открытие" нового вируса, который делает редирект на рекламные сайты. Чушь собачья, этот вирус трахнул меня месяца 4 назад, то есть ты кликаешь по ссылке, а тебя переправлют на сайт, который говорит, что твоей оси хана давай покупай мой пакет и я тебя почищу. Сперва я думал, что это нахальные куки переправляют тебя, с большим трудом почистил все в ручную, IE начинает работать хорошо, но потом опять начинается редирект.. После этого я испытал где-то 4 разных антивирусных пакетов, которые меня так почистили, что почти ось wXP угробили, но редирект продолжается, например, если ты делаешь поиск в гугле, то всё, на 100% если ты кликаешь по гугловской ссылке, тебя засылает на рекламный сайт, таким образом эти ублюдки, накручивают себе клики, а вот кто они, - или сам гугл или его проплаченне хакера сделали это, большой вопрос. Единственный способ обойти это - надо скопировать эту гугловскую ссылку, отдельно открыть новое окно и в нем запустить эту ссылку. Это явление продолжается даже при работе оси в сейф режиме. Далее я задействовал Fох4.0 и гугловский бравзер, этот редирект на них явно меньше, но все равно продолжается, то есть это доказывает, что задействуется скрипт общий для многих вебсайтов, в том числе и для forum.ru-board.com, который когда ты открываешь их вебсайт объязательно посылает тебя на рекламного спонсера, это как popup окна, кто-нить знает как решать эту проблему.

sanatoliy
Читайте шапку!

Ребята помогите. Не пойму,что с компом. включаешь комп выходит рамка с паролем админа,нажимаешь ок перезагружается, хотя пароли никто не ставил. Взял переустановил ОС, оставил текущюю файловую систему без изменений, через пару дней комп начал опять запрашивать пароль админа.Можит это вирусы? Спасибо за ранее.

VecheslavRSH


Цитата:

> это вирусы?
Сходите в тему «Помощь при лечении компьютера от вирусов», там вам помогут это выяснить. Прежде чем постить убедитесь, что вы выполнили все инструкции из шапки.

VecheslavRSH

Цитата:

В ПРОТИВНОМ СЛУЧАЕ ВАШ ПОСТ БУДЕТ ПРОИГНОРИРОВАН, ПРИ НАСТОЙЧИВОМ ПОВТОРЕНИИ - РАСЦЕНЕН КАК ФЛУД!

ПОДОЗРЕНИЕ НАПОДОЗРЕНИЕ НА Backdoor.
мои подозренмя основываются на
1 вот что нашел у каспера на сайте --Как бороться с вредоносными программами бот-сети-------HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\. В данном разделе реестра для бота включается разрешение на исходящие соединения путем изменения правил брандмауэра Windows. Бот добавляет себя в лист Доверенных приложений брандмауэра Windows. Правило на разрешение всех исходящих соединений добавляется как Flash Media, однако имя правила может быть отличным.

а у меня там 200 с лишним адресов и почти все с windows media plaer .
2 при установке windows на один диск винда выдает -- ошибка и пишет удалите media
portabile.если разделить диск на 2 раздела устанавливается нормально
3 еще нашел при отключении планировщика заданий. он же не отключается но я его отключаю так он зависит от журнала виндовс я отключаю службу журнала и перезагружаюсь он и вырубается. потом захожу в управление компом жму на планировщик а он мне выдает-- удаленный компьютер не найден
3 еще при выключении компа он пишет : ожидание закрытие программы task host windows а ниже сервер прекращает свою работу
4 если не убедил могу скрины сбросить с правилами для исходящих брандмаурера винды там штук 200-300
и все с типа такие прослушивоние портов 135 и тд
порты не могу закрыть ни прогой ни вручную все заблокировано
http://www.mediafire.com/?7v9n59socm2ydsc
http://www.mediafire.com/file/7v9n59socm2ydsc/virusinfo_syscure.zip

didok20
Обновите базы AVZ и переделайте логи

http://www.mediafire.com/?jikca4chhqyf2fy
http://www.mediafire.com/?n7hkc874czexfvi

мож кто знает, наверно какой-то очередной вирусняк ко мне залетел но никак не детектится пала, вообщем он прописывает в реестре (после каждой перезагрузки) в ветки "PersistentRoutes" их штук 20 айпи адреса сайтов после чего эти сайты не открываются, вирусняк импортный потому -как блокирует только импортные сайты типа ютуб, фейcбук короче их там около 100 и даже обменники летитбит, файлсоник,

есть ли какая-нидь прога которая бы отследила в реестре запись на конкретную ветку, на предмет какой файл или сервис это дописывает ?

Komandor
Попробуй загрузиться с LiveCD и с помощью ERD Commander удали лишние объекты автозапуска и проблемные сервисы.

Komandor
Sish
Уважаемые, прочтите шапку темы, в которой общаетесь!

Добавлено:
didok20
Ничего вредоносного не обнаружено.

скачал все это
Для исследования системы потребуется загрузить и использовать следующие инструменты:
Внимание! Если у Вас уже имеются эти утилиты, убедитесь, что Вы используете последние версии.

- Антивирусная утилита AVZ (около 4,5 Мб). не запускается
Утилита RSIT: для 32-разрядных систем или для 64-разрядных систем (менее 1 Мб). не запускается

- Антивирусная лечащая утилита AVPTool (около 80 Мб, производитель – «Лаборатория Касперского») не запускается и плюс еще как подносишь мышку к ярлыку сразу и эксплорер закрывается

Dr. Web CureIt! (около 32 Мб, производитель – «Доктор Веб»). этот работает но ничего не находит

проверил с другого виндувса каспером и макафи, безрезультатно.

прикол, пишешь в любом месте слово AVP или в других сочетаниях и сразу закрывается експлорер

самое интересное что при загрузке в безопасном режиме все остается точно также,
интересно каким образом тогда цепляется этот вирусняк и как его вычислить?

Добавлено
всем спасибо, сам нашел вирусняк цеплялся за explorer.exe, файл какойто с расширением DAT из папки x:\WINDOWS\AppPatch
удалил его и на этом все кончилось...

Здраствуйте! Проблема заключается в том, что в браузере опера сами по себе открываются вкладки с различной рекламой, даже, когда браузер выключен, и я в это время нахожусь в игре, через какое-то время игра сворачивается, открывается браузер с этой рекламной вкладкой.
Очень прошу помоч т.к. гугл результатов не даёт. =(
virusinfo_syscure.zip

Triumphus
- Выполните скрипт:


Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteStdScr(5); {обновление баз AVZ с автоматической настройкой}
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('MCIDRV_2600_6_0');
BC_ServiceKill('XDva359');
DeleteFile('j:\documents and settings\admin\local settings\application data\{66c6b90d-21e6-eafa-70ad-81b80b691d86}\.exe');
DeleteFile('J:\WINDOWS\system32\drivers\nqrmmr.sys');
DeleteFile('J:\WINDOWS\system32\XDva359.sys');
DeleteFile('J:\WINDOWS\system32\5a26e483.exe');
DeleteFile('J:\WINDOWS\system32\6535b259.exe');
DeleteFile('J:\WINDOWS\system32\fc04c54e.exe');
DeleteFile('J:\WINDOWS\system32\sijwst.exe');
DeleteFile('J:\WINDOWS\system32\uhsgka.exe');
DeleteFile('J:\WINDOWS\system32\userini.exe');
DeleteFile('\\?\globalroot\systemroot\system32\2hp2bAJ.exe');
DeleteFile('\\?\globalroot\systemroot\system32\s5Xsys6.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

gjf
Всё сделал, как вы сказали. Проблема вроде пропала. Спасибо Вам большое за помощь! (:
Логи

Triumphus
Сделайте лог полного сканирования МВАМ

Помогите, вирус попал. Мне пароли менять не надо на e-mail и т.п.? И что он сделал удалил системные файлы и т.п. Также на другом диске есть 2K3 с него отчёт тоже снять?
http://rghost.ru/download/5147129/98cc15e0879c2584fc342fdec47a7d69079a0c43/KL_syscure.zip