Malwarebytes' Anti-Malware нашел два вируса.Удалять?
Вложений: 1
|
|
Вы можете также проверить этот файл на http://www.virustotal.com/ru/
|
Severny
Честно говоря с вирусами сталкиваюсь впервые и (стыдно даже признаться) пока не знаю что такое ЛОГИ и где их взять.Подскажите поподробней пожалуйста. iskander-k А зачем проверять то их,там насколько я понимаю всё ясно и понятно что он есть.Или ты имеешь в виду (если они его лечат) скопировать эти два файла отправить им они его вылечат и заменить его обратно.Или как,что то я не очень понял. И ещё почему такой неплохой на мой взгляд антивирус как nod32 не находит его.Это же насколько я понимаю не такой уж заумный вирусочек-то. |
igoryanich, ссылка на пошаговую инструкцию принципе дана выше, на всякий случай продублирую:
http://forum.oszone.net/thread-98169.html |
zeroua
У меня на AVZ уже установлен драйвер расш. монит. Оставить его,или удалить его и установить новый? |
Цитата:
Цитата:
Выложите логи в соответствии с этими инструкциями. Внимательно читаем инструкцию. |
Извиняюсь.Ещё вопрос. В 3.4 непонятно:
3.4. Запустите AVZ, выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". В результате выполнения скрипта в папке AVZ\LOG будет создан файл virusinfo_syscheck.zip. Закройте AVZ. Скрипты выбрать надо до запуска или во время.Несовсем понятно. Заранее спасибо. |
Запускаете АВЗ -
Цитата:
|
Так! Теперь личным сообщением тебе ссылку выслать? И ещё папку LOG полностью грузить, или virusinfo_syscheck только, или как вообще
|
Цитата:
Вы не внимательно читаете инструкцию. |
И лог virusinfo_syscure.zip (после выполнения 3-го стандартного скрипта) тоже не забудьте выложить
|
iskander-k №2 http://exfile.ru/45515
thyrex №3 http://exfile.ru/45517 в HiJackThis при нажатии Do a system ...... выскакивает блокнот с какими-то записями и в самой программе строк наверное 150-200.Галки ставить у каждой или как? В правилах написано "в открывшемся окне поставьте галочки ТОЛЬКО напротив указанных строк". |
Цитата:
|
Это с HijackThis.
чо то он не выложился щас ещё раз попробую. Вот В общем не получается почему-то прикрепить. Вот ссыла http://exfile.ru/45530 Как он должен подсказать? Я что то не наблюдаю подсказок.Все места для галок пустые. |
Выполните скрипт в AVZ
Код:
begin Сделать новые логи |
И ещё. Логи сделать с avz №2 и №3 и с HiJackThis тоже?
|
igoryanich, да
|
№2 http://exfile.ru/45541
№3 http://exfile.ru/45542 HijackThis http://exfile.ru/45543 В папке с AVZ появилась ешё одна "карантин".Запустил ещё раз Malwarebytes' Anti-Malware.Нашел он уже не два файла а один (который нижний). |
Извиняюсь. Так а дальше то что?
|
igoryanich, Здравствуйте :)
Цитата:
Код:
c:\windows\explorer.exe Код:
begin Код:
begin Не игнорируйте рекомендации! 1. В Internet Explorer 7, отключите ActiveX и настройте безопасность. Рекомендуется использовать Firefox с плагином NoScript 2. Устанавливайте все последние обновления с http://windowsupdate.microsoft.com/ 3. Рекомендую проверять систему регулярно, утилитой CureIT 4. Регулярно обновляйте базы для вашего антивируса. 5. Не работайте с правами Администратора на компьютере. После всех процедур, повторите логи AVZ и HiJackThis, но во время создания логов, настоятельно рекомендую, отлючиться от Интернета, и закрыть все программы, оставив только Internet Explorer. |
1."Беру в карантин, потом проверите их (c:\windows\explorer.exe
;c:\windows\system32\ctfmon.exe" непонял эту фразу.Чем их проверить.У меня бывает очень часто (при открытии папок и не только) выскакивает какая-то системная ошибка и там постоянно фигурирует эта explorer.exe. . И ещё с иконками постоянная проблемма ставлю нравившуюся мне иконку например на GIF а она не только на GIF появляется но ещё и на 3GP и на MOV и ещё кое на каких, и что самое странное потом всё это проходит, и через время опять клинит. 2.По поводу логов и закрытия всех программ я понял.Ещё один момент:надо обязательно включать Internet Explorer или можно и Firefox? И выключать надо только инет или и локальную сеть тоже. 3.Вот этот самый длинный код я так понял его тоже надо в AVZ выполнить.Так ведь? 4.Второй скрипт выполнить там же? В AVZ? 5.В результате какого скрипта будет создан файл quarantine.zip. Первого или второго? 6.Вы пишите чтоб я в Internet Explorer 7 отключил ActiveX и т.д. Но я никогда ею не пользовался у меня Firefox? "использовать Firefox с плагином NoScript" после того как я этот плагин установлю там надо где-нибудь,что-нибудь в настройках менять.И ещё это плагин надо включить на время деланья логов или вообще? 7. Утилиту CureIt использую регулярно не по одному разу в день бывает. 8.У меня NOD32 базы обновляются примерно раз в сутки. 9.Я вот что не понимаю почему нельзя на правах администратора как это-то может влиять. В самом низу вы пишите "После всех процедур, повторите логи AVZ и HiJackThis, но во время создания логов, настоятельно рекомендую, отлючиться от Интернета, и закрыть все программы, оставив только Internet Explorer". Я не очень понял зачем второй раз логи делать. |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Как чувствует себя компьютер после выполнения скрита? Проблемы какие-то наблюдаются? |
Я забыл Enternet Explorer включить.Ничего если я ещё раз первый скрипт выполню.Или не в коем случае?
После первого выполнения из папки с AVZ нужно появившиеся папки в сторону откинуть или нет? И ещё. После установки NoScript чо-то нифига не скачивается. Где можно по настройкам инфо. почитать, а то на офиц. всё по английски и через переводчик мало что понятно.Или если есть время напишите где там что выставить в настройках надо.И вообще для чего она нужна,что она делает? |
Цитата:
Код:
begin Цитата:
Карантин quarantine.zip отсылали? Сделайте повторные логи, проделав инструкции со 2-го пункта. |
Карантин ещё не отсылал, потому что думал что сначала надо сделать первый скрипт, потом появившиеся папки откинуть и сделать второй скрипт и появившиеся папки (только от второго без первого) уже отправлять. Но я ошибся.
Щас сделаю второй,затем отправлю и отпишу. А что по-поводу noscript? Нету никакой ссылочки? Отправил.А долго ли ответ примерно ждать. И папки после первого скрипта оставить или они больше не понадобяться? Скрипт нужно выполнить я так понимаю стандартный 2 и 3.Или вот этот последний: begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('GMSIPCI', 4); SetServiceStart('wscsvc', 4); StopService('GMSIPCI'); StopService('wscsvc'); QuarantineFile('c:\windows\explorer.exe',''); QuarantineFile('c:\windows\system32\ctfmon.exe',''); QuarantineFile('spmk.sys',''); QuarantineFile('E:\INSTALL\GMSIPCI.SYS',''); QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe',''); DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe'); DeleteFile('E:\INSTALL\GMSIPCI.SYS'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('GMSIPCI'); BC_DeleteSvc('wscsvc'); BC_Activate; RebootWindows(true); end. и затем этот текстовый файл который после запуска HiJackThis остаётся.Вот эти два.Да? Ещё пару вопросов:как мне отключить востановление системы. И если я на NOD выключу файервол то в панели управления брандмауэр уже выключать не надо.Правильно? Вы не удивляйтесь что так много вопросов,я впервые и просто боюсь что-нибудь не так сделать. |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
|
igoryanich, Проверил, логи чистые.
Проверьте ещё вашу систему Kaspersky Online Scanner'ом. Если у вас установлен Java, то нажмите кнопку Kaspersky Online Scanner. Выберите нужные диски и запустите сканирование. Если Java у вас не установлен, скачайте её с Java Runtime Environment. Установите и выполните проверку. После окончания проверки сохраните, заархивируйте лог файл и прикрепите к сообщению. У вас установлена программа Cheetah DVD Burner? Файл videocore.dll может быть от неё. |
Cheetah DVD Burner нету.
Но Malwarebytes' Anti-Malware всё ещё находит videocore.dll (nod почему-то не находит и CureIt тоже). Антивирус надо выкл. перед тем как on-line проверять или ещё какие нибудь требования. И ещё как узнать стоит ли у меня java? В поиске что то выдаёт но там почти все папки пустые и не одного весомого файла нет. А что будет если этот trojan vundo videocore.dll удалить анти малвэйром? |
Цитата:
На virustotal проверяли? Можно отослать на анализ одному из вендоров. http://vms.drweb.com/sendvirus/ |
Нет ими ещё не пробовал.
Вот и я о Vundofix хотел спросить. Ну так что убивать его без проверки on-line или сначала Vundofix а потом on-line. |
igoryanich,
Да ты просканируй сначала. Если и Vundofix подтвердит, то уже с большой вероятностью вирус. В любом случае ничто не мешает сделать backup файла. |
Backup это востановление системы. Сделать контрольную точку что ли. Это?
|
igoryanich, Backup файла. Ну какое восстановление. Сохрани файл куда-нибудь, а из system32 удали.
|
А куда-нибудь это на компьютере или на флешку можно.
Не удивляйся что много вопросов, я просто боюсь что-нибудь не так сделать. И вспомни себя когда впервые с этим столкнулся. |
Открывал Nero и вылезло сообщение Malwarebytes' Anti-Malware что этот vundo пыпается установить соединение с чем то там. Я ничайно поместил его в карантин. И при повторной проверке Malwarebytes' Anti-Malware обнаружил:
производитель-Trojan.Banker категория-Registry Value элемент-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1;http://bsalsa.com) прочее-Value: user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1;sv1;http://bsalsa.com) |
Цитата:
|
А что с Trojan.Banker делать.
|
|
Так vundo в карантине Malwarebytes' Anti-Malware. Его что нужно восстановить и провундофиксить :) комп.
|
Цитата:
|
Проблем и не было,ну кроме того что в иконках я например для GIF задаю иконку а она появляется и на GIF и на MOV и ещё на паре форматов и иногда (очень редко) при запуске комп. он запускался раза с 5-7 а когда не запускался мигал белый пробел в левом верхнем углу экрана до безконечности. Просто при проверке Malwarebytes' Anti-Malware нашел этот vundo вот я и написал т.к. у меня это впервые и не знаю что делать.А теперь ещё и trojan.Banker этот.
Просто как-то не по себе когда в комп. вирусы всякие. А с иконками и с запуском я даже не знаю из-за вирусов это или нет. |
Цитата:
Цитата:
А вот это возможно аппаратная проблема Цитата:
|
Цитата:
|
Drongo
Да ассоциировал.Помогло.От души. Так что вундофиксить я так понимаю уже не нужно. Trojan.Banker тоже в карантин убрать или просто удалить. И осталось ли надобность делать on-line проверку касперским? iskander-k Проблемы этой давно не наблюдал (тьфу,тьфу,тьфу).Буду надеятся что и не наблюду. |
Цитата:
Цитата:
Цитата:
Цитата:
|
В vundofix две кнопки Scan For Vundo и Fix Vundo.
Антивирус надо выключать или ещё какие-нибудь требования к ней надо перед применением? |
|
Там же в system32 vundofix нашел ещё 3 (зараженных как я понял) файла "NCTAudioFile2.dll","NCTAudioPlayer2.dll","NCTAudioRecord2.dll". Около них стоят галки и внизу написано "Done Scanning". Я ещё пока ничего не нажимал. Буду ждать ответа что делать дальше.
|
igoryanich, Проверьте эти три файла, здесь - http://www.virustotal.com/ru/
|
Всё отчеты которые там выдали здесь http://exfile.ru/46285
У меня ещё до сих пор vundofix открыт,Fix Vundo надо нажимать? |
igoryanich,
Цитата:
Цитата:
|
Так а с этим trojan.banker что делать?
|
igoryanich, ничего не нужно удалять, видимо ложная тревога.
|
Так что,можно отмечать тему как отмеченной.
|
|
Всем огромнейшее спасибо все очень помогли в особенности Drongo,Severny и iskander-k. Родина вас не забудет. Да воздастся вам. Всем жму 5.ПОКА.
|
|
Системой восстановления не пользовались ?
Возможно зацепили во время скачивания. Были-ли битые видео- или аудио файлы которые не запускались ? |
Нет битых не было. А не может быть так что в компе где-то что-то сидит и делает этот Vundo, я его удаляю а он (там где он сидит) делает его по новой. Дело в том что недавно удалил программу TrojanHunter (в нём троян и был), а она и сама в себе находила и в TotalKomander ещё,хотя ни nod не Malwarebytes' Anti-Malware и не CureIt ничего не находили. Вот я думаю может в тотале что нибудь есть. На VirusTotal проверял.
|
igoryanich, Очистите контрольные точки восстановления. Правой кнопкой по диску C: - Свойства - кнопка Очистка диска - вкладка Дополнительно - категория Восстановление системы - Очистить... - подтвердите - ОК. Проверьте снова. Если не будет Vundo, создайте новую контрольную точку.
|
Сегодня днём просто включил комп. и сканировал ей же, и она ничего не нашла. Я чо-то не пойму чо ей надо. Может она хочет чтоб я её снёс.
Drongo- А после того как очистил точки. Можно сразу же новую делать? |
Цитата:
|
Время: 10:15. |
Время: 10:15.
© OSzone.net 2001-