» Помощь при лечении компьютера от вирусов

gjf

Цитата:

Корректно удалите эти утилиты (подробнее - на сайте производителей)

На сайте Касперского инструкция по "удалению" выглядит так:

Цитата:

Закройте главное окно программы, для этого в правом верхнем углу главного окна программы нажмите на крестик.
Программа будет удалена с вашего компьютера.

На сайте Веба инструкцию не нашел вообще, если она существует, пожалуйста, укажите где.
Хотя я всегда полагал, что эти утилиты в систему не инсталлируются, а потому удаления не требуют.

Если мне память не изменяет, то я логи как раз и делал после проверок и перезагрузки.
На всякий случай сейчас перезагружусь и выложу снова.
В ночь загрузился Kasperksy Rescue Disk и запустил проверку. Проблем не найдено.

Выполнил задачу наконец-то
1. AVZ http://rghost.ru/42278986
2. http://rghost.ru/private/42279039/bb5b7d89dfb85e1d4370614a45ab7206
3. http://rghost.ru/private/42279058/f529916e4ce7062335306a6e46c28154

Если это как-то поможет, то среди самопроизвольно открывающихся страниц, часто встречается: wow2impulse.ru


Единственное на что обращает внимание AVZ, это BtMmHook.dll. Но эта DLL создана еще в 2007 году, вряд ли она является причиной текущих проблем.

Rlndd

Цитата:

спонтанно открываются страницы с рекламой

Может поставить блокер всплывающих окон и резку рекламы? Для всех браузеров по моему есть - Adblock Plus

Цитата:

Может поставить блокер всплывающих окон и резку рекламы?

Даже если это поможет, то это не решение проблемы. Такой вариант возможно устранит следствие, но не причину. А хочется поубивать именно причины.

Rlndd
Пофиксите в HiJack

Код: O17 - HKLM\System\CCS\Services\Tcpip\..\{987900F0-613E-4852-9FF6-61790A06FA3F}: NameServer = 5.199.140.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9F05978-63A4-4E32-AEBA-F7B3F42C2150}: NameServer = 5.199.140.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 5.199.140.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6420F3A-74AE-444D-83AF-05D4CC6B2711}: NameServer = 5.199.140.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{987900F0-613E-4852-9FF6-61790A06FA3F}: NameServer = 5.199.140.180
O17 - HKLM\System\CS3\Services\Tcpip\..\{987900F0-613E-4852-9FF6-61790A06FA3F}: NameServer = 5.199.140.180

thyrannosaurus

Цитата:

Пофиксите в HiJack

Не понял, что именно нужно сделать. Видимо утилита какая-то... Я с ней ранее не работал.
Просто по реестру прошелся и поудалял этот адрес из всех строк, которые нашел.

Можно узнать чем он не понравился? Заодно бы и логи в RSIST тоже интересны. С чего подозрение на него пало?

Я параллельно Spyware Terminator запустил, прошелся им. Он тоже что-то понаходил и поудалял. Вроде бы пока тихо. Или прибил все-таки я эту гадость, или где-то спряталась и затихла. Буду следить.

Не, нифига не прибилась. Так и появляется какая-то фигня...
Так что все еще жду помощи.

Rlndd

Как пофиксить http://virusinfo.info/showthread.php?t=4491
HiJack Вы тоже скачивали при создании лога RSIT

У Вас подменены (были подменены) DNS в настройках выхода в Интернет на немецкие

Очистите куки и кэш браузеров

+ сделайте лог http://virusinfo.info/showthread.php?t=122524

thyrannosaurus
Логи сделал: http://rghost.ru/private/42342909/37a128fbbf8fb5d7735578f9fec9d56b

Никак не могу понять. Вроде бы эта зараза пропала, но в прошлый раз спонтанно проявилась вновь.
Если по логам можно определить осталось ли от не что-нибудь, то давайте поищем.
Если нет, то будем считать, что победили.

В любом случае благодарю за помощь!

Rlndd
На всякий случай сделайте аппаратный сброс настроек роутера, введите правильные настройки, смените пароль на роутере на более сложный

Уважаемые знатоки, помогите. Стоит Виндоус 7-64. С какого-то момента перестали запускаться exe-файлы. То есть, не могу запустить ни одну программу. Правда, некоторые, например, Computer Manager, запускаются. На остальные следующий ответ:
Entry Point Not Found

The procedure entry point RtlCopyContext could not be located in the dinamic link library ntdll.dll
Долее ОК.
Откат системы не работает.
Против вирусов стоит Agnitum Outpost, Roboscan, и Ms Security Essential. Ни одна проверка вируса не выявила. В том числе и прогой AVZ.
Я уже перестанавливал систему, но, опять та же проблема: видимо, все же где-то в моих программах сидит вирус.
Помогите, работа стоит, горю!

IgorM
avz.exe переименуйте в image.pif
Запустите этот файл и предоставьте логи.

Попробовал. Не получается. При попытке запустить переименованный файл, выдает тот же результат. Пытался в Безопасном режиме, - все то же самое.
Да, заметил одну особенность. При запуске некоторых exe-шников, как всегда, выдает все то же окно, но потом эти exe-шники пропадают!
А антивирус и Агнитум Оутпост спокойно запускатся, но совершенно бесполезны!

Ладно. Видно мой случай - нестандартный. (Со вздохом) переустановил систему...

Здравствуйте, помогите, пожалуйста, с проблемой: приложения не закрываются. То есть видимое окно может и закрыться, но процесс висит и убить его нельзя даже вручную через стандартные и не очень (ProcessExplorer) диспетчеры задач.
Спасибо.

Логи прилагаю:
_http://rghost.ru/private/42657539/d20067224ab427cd31eea63d3859539d - rsit info.txt
_http://rghost.ru/private/42657630/d5a8a1a4409b2004f7462900b79a4e57 - rsit log.txt
_http://rghost.ru/42657641 - virusinfo_syscure.zip

Доброго времени суток, несколько дней тому, я заметил, что компьютер стал тратить больше времени на загрузку системы и некоторые процессы стали "подвисать" на время. На тот момент я пользовал Avast! Pro Antivirus 5.0.677 с лекарством до 2025-го года, обнаружив не корректную скорость выполнения задач я захотел выполнить проверку антивирусом, но
зашел в основное окно аваста и меня очень удивила надпись о том, что пробная лицензия истекает через 16 или около того дней, хотя до этого там было написано, что лицензия до 2025 года.
Пробовал проверить систему CureIT, AVP Tool, AVZ, все попытки заканчивались самовольной перезагрузкой.
Восстановление системы выдает ошибку.

На данный момент загрузка системы длится раза в 3-4 дольше, все программы при выполнении виснут и отвисают через время.

Логи RS IT:
http://rghost.ru/private/42670261/6b1286c7f68fed8f982826fabd1e0961
http://rghost.ru/private/42670270/a2907804001cde27b773057622e0b04e

Посмотрите пожалуйста. В варезнике на такой архив наткнулся http://www59.zippyshare.com/v/85454415/file.html
(пост http://forum.ru-board.com/topic.cgi?forum=35&topic=14652&start=40#11)

При загрузке и сохранении процесс explorer.exe стал кушать проц, сейчас правда прошло. По virustotal непонятно. Некоторые определяют как хактул, а вот Каспер трояна видит.
[more=Вирустотал]Antivirus     Result     Update
Agnitum     -     20130104
AhnLab-V3     Trojan/Win32.Xema     20130104
AntiVir     TR/Rogue.8282828     20130104
Antiy-AVL     -     20130104
Avast     -     20130105
AVG     -     20130105
BitDefender     Trojan.Generic.8282828     20130105
ByteHero     -     20121226
CAT-QuickHeal     HackTool.Patcher.A     20130104
ClamAV     -     20130105
Commtouch     W32/MalwareS.BIHK     20130105
Comodo     UnclassifiedMalware     20130105
DrWeb     Tool.Patcher.65     20130105
Emsisoft     -     20130105
eSafe     Suspicious File     20130103
ESET-NOD32     a variant of Win32/HackTool.Patcher.T     20130104
F-Prot     W32/MalwareS.BIHK     20130105
F-Secure     Trojan.Generic.8282828     20130105
Fortinet     W32/Agent.QWC!tr     20130105
GData     Trojan.Generic.8282828     20130105
Ikarus     not-a-virus:Hacktool     20130104
Jiangmin     -     20121221
K7AntiVirus     Riskware     20130104
Kaspersky     Trojan.Win32.Genome.ajhto     20130105
Kingsoft     -     20130104
Malwarebytes     -     20130105
McAfee     Generic PUP.z!pj     20130105
McAfee-GW-Edition     -     20130104
Microsoft     -     20130105
MicroWorld-eScan     -     20130105
NANO-Antivirus     -     20130105
Norman     -     20130104
nProtect     Trojan.Generic.8282828     20130105
Panda     Suspicious file     20130104
PCTools     -     20130105
Rising     -     20130104
Sophos     Troj/Agent-QWC     20130105
SUPERAntiSpyware     -     20130105
Symantec     Trojan.Gen.2     20130105
TheHacker     -     20130105
TotalDefense     -     20130104
TrendMicro     TROJ_GEN.R3ECEL1     20130105
TrendMicro-HouseCall     TROJ_GEN.R3ECEL1     20130105
VBA32     -     20130104
VIPRE     Trojan.Win32.Generic!BT     20130105
ViRobot     -     20130105[/more]

Lars55
В логах ничего вирусоподобного

itnetuser
ProxyServer = http=113.10.181.212:80;socks=127.0.0.1:9050 - сами прописывали?

inapht
Возможно, ложное срабатывание

всем привет у меня такая проблемка точнее ПРОБЛЕМИЩЕ , Microsoft Security Essetial зафиксировал не правомерный доступ к порно материалам в сети интернет......Для активации необходимо пополнит счет МТС 89811097206 на сумму 1200....получите код..... помогите избавится от этой ТРОЯНИ плс......

Angell87
http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=3180#1
в шапке есть AntiSMS

thyrannosaurus

Цитата:

В логах ничего вирусоподобного

Совсем ничего? Меня просто очень смущает, что при сканировании avz выдает вот такое:
[more]
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=16AB00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8303F000
SDT = 831A9B00
KiST = 830BD4DC (401)
Функция NtCreateSymbolicLinkObject (56) перехвачена (83242911->919B0E96), перехватчик не определен
Функция NtLoadDriver (9B) перехвачена (83206C20->919B0E9B), перехватчик не определен
Функция NtOpenSection (C2) перехвачена (832AA8BB->919B0E91), перехватчик не определен
Функция NtSetSystemInformation (15E) перехвачена (8328F29A->919B0EA0), перехватчик не определен
Функция NtTerminateProcess (172) перехвачена (8329BBFB->919B0E5F), перехватчик не определен
Проверено функций: 401, перехвачено: 5, восстановлено: 0
.....
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 85A581E8 -> перехватчик не определен
Проверка завершена
[/more]
А если сканировать со включенными анти руткит опциями, то вот такое:
[more]
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=16AB00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8303F000
SDT = 831A9B00
KiST = 830BD4DC (401)
Функция NtCreateSymbolicLinkObject (56) перехвачена (83242911->919B0E96), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (9B) перехвачена (83206C20->919B0E9B), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (C2) перехвачена (832AA8BB->919B0E91), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (15E) перехвачена (8328F29A->919B0EA0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (172) перехвачена (8329BBFB->919B0E5F), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 401, перехвачено: 5, восстановлено: 5
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Анализ для процессора 3
Анализ для процессора 4
CmpCallCallBacks = 00000000
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85A581E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 85A581E8 -> перехватчик не определен
Проверка завершена
[/more]
После перезагрузки результаты сканирования такие же, то есть все перехватчики возвращаются на место.
И еще, если сканировать с установленным драйвером avzpm, то к вышеперечисленному добавляется еще это:
[more]
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=308, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 308)
Маскировка процесса с PID=376, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 376)
Маскировка процесса с PID=456, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 456)
Маскировка процесса с PID=528, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 528)
Маскировка процесса с PID=1020, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1020)
Маскировка процесса с PID=1836, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1836)
Маскировка процесса с PID=1944, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1944)
Маскировка процесса с PID=2080, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2080)
Маскировка процесса с PID=2092, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2092)
Маскировка процесса с PID=2124, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2124)
Маскировка процесса с PID=2176, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2176)
Маскировка процесса с PID=2372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2372)
Маскировка процесса с PID=2612, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2612)
Маскировка процесса с PID=2632, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2632)
Маскировка процесса с PID=3424, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3424)
Маскировка процесса с PID=3796, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3796)
Маскировка процесса с PID=3840, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3840)
Маскировка процесса с PID=3856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3856)
Маскировка процесса с PID=3872, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3872)
Маскировка процесса с PID=3936, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3936)
Маскировка процесса с PID=1036, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1036)
Маскировка процесса с PID=2908, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2908)
Маскировка процесса с PID=2996, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2996)
Поиск маскировки процессов и драйверов завершен
[/more]

http://rghost.ru/private/42846961/1df423e6c28244f2e9f0692eeae3d7f9
http://rghost.ru/private/42846973/b99f89f7c3d0b2f269b015795b4ef2beм
http://rghost.ru/42846982
Доброго времени суток. При загрузке виндоус система пишет сначала, что не удалось найти C Documents....далее схожая ошибка вылетает еще 2 раза (не может найти еще пути).

Подскажите программы и ручной способ поиска хакерских закладок. RMS, бэкдор и подобных. Для windows разных версий.
Только для удаленного доступа, нет возможности поставить нормальный антивирус или он уже стоит но ничего не может.
Цель не вычистить, а хотя бы надежно перекрыть хакеру контроль компа, сервера и утечку информации.
Точно знаю что сервер под контролем хакеров, но это ни как не проявляется, пока не пароль не поменяют или деньги не пропадут.

Dr. Web CureIt! Больше часа не может обезвредить одну угрозу и закрываться не хочет. Можно его как то прибить?
AVPTool вобще пропустил эту дыру, типа хакер поставил значит так и надо.

inapht
А с помощью MSE пробовали?

inapht
Тогда качаем drwebliveusb.exe, записываем на флешку и загружаемся с неё, либо drweb-livecd-602.iso записываем на CD и так же загружаемся с неё и лечим.
А по правилам, то читаем шапку, выполняем и выкладываем логи.

naive777

Выполните скрипт в AVZ

Код: begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Admin\kbqe.exe','');
DeleteFile('C:\Documents and Settings\Admin\kbqe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Посмотрите пожалуйста логи RSIT http://rghost.ru/42882577. Осталось ли что-то после лечения?
Dr. Web CureIt удалось закрыть только через перезагрузку. При повторной проверке он не нашел remote admin.
До всего этого я запускал DarkComet-RAT Remover, он нашел и удалил rat server.


В инете полно инструкций как сделать скрытый RMS из легальной программы с цифровыми подписями и тд. Любой школьник скачает любой вирус (тот же дарк комет) и закриптует его в несколько кликов, ни один антивирь не увидит до суток или более если чуть поизучать видеоинструкции, которых тоже полно. А за небольшую сумму можно получить гораздо больше время и крутые хак тулзы.
А я не могу найти программу, которая надежно детектировала хотябы системы удаленного управления, включая легальные.

всем привет. Помогите с проблемой. При открытии некоторых сайтов периодически с левой стороны окна в браузере выскакивает баннер с рекламой, в т.ч. и порно. КИС 2013 и МБАМ при проверке ничего не находят. Где копать?
Спасибо.

Oslik18
Читайте в шапке раздела и выполняйте правила

Доброго времени суток!
У меня проблема-есть подозрение на наличие в системе руткита, сканы антивирусами KAV, Dr WEB и AVZ ничего не дали. При помощи утилиты PowerTool, удалось "обнаружить" руткит в загружаемой области(MBR). Но удалить эту заразу никак не получается. Сделал как все описано в шапке-результат никакой, логи прилагаю.

info.txt http://www.mediafire.com/view/?1wvv6dc4fccqaby
log.txt http://www.mediafire.com/view/?5swk9ypnw7x5di5

P.S. Если что-то не так написал/описал-извиняйте=)