Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Функция user32.dll... (http://forum.oszone.net/showthread.php?t=231812)

карэн 01-04-2012 09:13 1891149
Функция user32.dll...
 
Здравствуйте ,поче-муто при проверке AVZ выдает такие записи
Функция user32.dll:DefDlgProcA (1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->75465F5A->778AE659
Функция user32.dll:DefDlgProcW (1658) перехвачена, метод ProcAddressHijack.GetProcAddress ->75465F75->778A4128
Функция user32.dll:DefWindowProcA (1664) перехвачена, метод ProcAddressHijack.GetProcAddress ->75465F90->77882A63
Функция user32.dll:DefWindowProcW (1665) перехвачена, метод ProcAddressHijack.GetProcAddress ->75465FAB->77872
Говорят что вполне возможно какой-то вирус
решил просканировать систему и логи вам на форум опубликовать ,может подскажите в чем проблема?
система windows 7 домашняя расширеная (64 разряда) антивирус Авира -интернет секьюрити .

Warrior Kratos 01-04-2012 10:24 1891177
карэн, какая причина послужила, для проверки компьютера с помощью AVZ? Это вполне обыкновенные перехваты.

карэн 01-04-2012 11:20 1891190
Вот эта самая и послужила , я ж не знаю вирус это или нет ,а АВЗ выделила красным эти значения,сканирую курейтом сейчас ,так он показал уже пару троянских программ таких как troian.fraudster 274, потомучто возникает необходимость посещения сайтов на которых я могу опубликовать личные данные ,ну и прочее.

Warrior Kratos 01-04-2012 11:33 1891193
карэн, эти папки вам известны?
Код:
2012-03-29 16:13:14 ----D---- C:\Users\Карэн\AppData\Roaming\DYA_NVURBDAHNPILDSNTI
2012-03-29 16:13:14 ----D---- C:\ProgramData\DYA_NVURBDAHNPILDSNTI
C:\Users\Карэн\AppData\Roaming\GHISLER

карэн 01-04-2012 11:44 1891196
Warrior Kratos, да я нахожу их у себя

Warrior Kratos 01-04-2012 11:47 1891197
Цитата:
Цитата карэн
Warrior Kratos, да я нахожу их у себя »
Находить мало, надо точно знать от какого софта они, от какой программы. Что в этих папках находится?

thyrex 01-04-2012 12:14 1891207
C:\Users\Карэн\AppData\Roaming\GHISLER от Total Commander похоже что-то

Warrior Kratos 01-04-2012 12:29 1891216
thyrex, а у этих время создание совпадает, похоже carbepr.
Цитата:
Цитата Warrior Kratos
2012-03-29 16:13:14 ----D---- C:\Users\Карэн\AppData\Roaming\DYA_NVURBDAHNPILDSNTI
2012-03-29 16:13:14 ----D---- C:\ProgramData\DYA_NVURBDAHNPILDSNTI »
Да и ещё папка имеется:
Код:
2012-02-09 21:39:05 ----D---- C:\Users\Карэн\AppData\Roaming\kFv3DjpT2zpvukF

карэн 01-04-2012 12:44 1891219
софта много грузилось ,курейт вот определил еще два troian.carberp.60 и troian.carberp.30

Warrior Kratos 01-04-2012 12:54 1891226
что в эти папках находится?
Цитата:
Цитата Warrior Kratos
2012-03-29 16:13:14 ----D---- C:\Users\Карэн\AppData\Roaming\DYA_NVURBDAHNPILDSNTI
2012-03-29 16:13:14 ----D---- C:\ProgramData\DYA_NVURBDAHNPILDSNTI » »
TeamViewer используете?

iskander-k 01-04-2012 13:01 1891233
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.


Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\Users\Карэн\AppData\Roaming\DYA_NVURBDAHNPILDSNTI', '*.*', true);
 DeleteFileMask('C:\ProgramData\DYA_NVURBDAHNPILDSNTI', '*.*', true);
 DeleteFileMask('C:\Users\Карэн\AppData\Roaming\kFv3DjpT2zpvukF', '*.*', true);
 DeleteDirectory('C:\Users\Карэн\AppData\Roaming\DYA_NVURBDAHNPILDSNTI');
 DeleteDirectory('C:\ProgramData\DYA_NVURBDAHNPILDSNTI');
 DeleteDirectory('C:\Users\Карэн\AppData\Roaming\kFv3DjpT2zpvukF');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

карэн 01-04-2012 13:06 1891242
TeamViewer использую ,а они пустые оказались,

iskander-k, а мне дождаться окончания сканирования курейтом ,а то проверка идет? .

iskander-k 01-04-2012 13:11 1891247
Цитата:
Цитата карэн
а мне дождаться окончания сканирования курейтом ,а то проверка идет? . »
Да, дождитесь.


Время: 15:34.

Время: 15:34.
© OSzone.net 2001-