Malwarebytes' Anti-Malware нашел два вируса.Удалять?
 

Malwarebytes' Anti-Malware нашел два вируса. Называються они (Trojan.Vundo) и находятся они по адресу C:\WINDOWS\system32\videocore.dll. И не пойму удалять их (так как на мой взгляд они системные и могут нарушить работоспособность комп.),или всё таки сносить их. Помогите пожалуйста.

igoryanich,
Может Vundo и есть.
Обычно одним файлом не ограничивается.
Пока не удаляйте, сделайте логи и выложите здесь.
Также можно дополнительно воспользоваться Vundofix или утилитой от Symantec.. Но это после логов и лечения.

Вы можете также проверить этот файл на http://www.virustotal.com/ru/

Severny
Честно говоря с вирусами сталкиваюсь впервые и (стыдно даже признаться) пока не знаю что такое ЛОГИ и где их взять.Подскажите поподробней пожалуйста.
iskander-k
А зачем проверять то их,там насколько я понимаю всё ясно и понятно что он есть.Или ты имеешь в виду (если они его лечат) скопировать эти два файла отправить им они его вылечат и заменить его обратно.Или как,что то я не очень понял.




И ещё почему такой неплохой на мой взгляд антивирус как nod32 не находит его.Это же насколько я понимаю не такой уж заумный вирусочек-то.

igoryanich, ссылка на пошаговую инструкцию принципе дана выше, на всякий случай продублирую:

http://forum.oszone.net/thread-98169.html

zeroua
У меня на AVZ уже установлен драйвер расш. монит. Оставить его,или удалить его и установить новый?

Антивирусные программы бывают ошибаются. Подозрительный файл отправляете на указанный адрес и там он проверяется несколькими антивирусами. И если большинство указывают , что файл заражен , то значит файл и есть последствия вируса.
АВЗ не надо устанавливать - скачиваете , распаковываете и запускаете в соответствии с инструкциями. Появившийся потом лог находите в той же папке с АВЗ.

Выложите логи в соответствии с этими инструкциями.

Внимательно читаем инструкцию.

Извиняюсь.Ещё вопрос. В 3.4 непонятно:
3.4. Запустите AVZ, выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". В результате выполнения скрипта в папке AVZ\LOG будет создан файл virusinfo_syscheck.zip. Закройте AVZ.
Скрипты выбрать надо до запуска или во время.Несовсем понятно.
Заранее спасибо.

Запускаете АВЗ - Внизу окна, в котором вы ставите галку на 2-ом скрипте, есть кнопка -- выполнить отмеченные скрипты - жмете её. Ставите галку и потом жмете кнопку и ждете выполнения.

Так! Теперь личным сообщением тебе ссылку выслать? И ещё папку LOG полностью грузить, или virusinfo_syscheck только, или как вообще

Нет присоедините в следующее сообщение. Лог АВЗ virusinfo_syscheck и лог HijackThis
Вы не внимательно читаете инструкцию.

И лог virusinfo_syscure.zip (после выполнения 3-го стандартного скрипта) тоже не забудьте выложить

iskander-k №2 http://exfile.ru/45515
thyrex №3 http://exfile.ru/45517
в HiJackThis при нажатии Do a system ...... выскакивает блокнот с какими-то записями и в самой программе строк наверное 150-200.Галки ставить у каждой или как? В правилах написано "в открывшемся окне поставьте галочки ТОЛЬКО напротив указанных строк".

Галки ставить только там, где подскажут. А этот текстовый файл надо сюда выложить.

Это с HijackThis.
чо то он не выложился щас ещё раз попробую.

Вот
В общем не получается почему-то прикрепить. Вот ссыла http://exfile.ru/45530


Как он должен подсказать? Я что то не наблюдаю подсказок.Все места для галок пустые.

Выполните скрипт в AVZ
Компьютер перезагрузится.

Сделать новые логи

И ещё. Логи сделать с avz №2 и №3 и с HiJackThis тоже?

igoryanich, да

№2 http://exfile.ru/45541
№3 http://exfile.ru/45542
HijackThis http://exfile.ru/45543
В папке с AVZ появилась ешё одна "карантин".Запустил ещё раз Malwarebytes' Anti-Malware.Нашел он уже не два файла а один (который нижний).

Извиняюсь. Так а дальше то что?

igoryanich, Здравствуйте :) Ждите в порядке общей очереди. Перед выполнением логов, нужно выгрузить\закрыть все приложения, оставил только Internet Explorer и отключиться от Сети. Чего вы не сделали, в результате получился "километровый" лог. :) Уточняю один момент, на систему ставились какие-то патчи украшающие внешний вид системы, и изменяющие системные файлы? Беру в карантин, потом проверите их
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После перезагрузки выполните ещё один скрипт:
В результате выполнения скрипта в папке AVZ будет создан файл - quarantine.zip. Отправьте его на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Не игнорируйте рекомендации!
1. В Internet Explorer 7, отключите ActiveX и настройте безопасность. Рекомендуется использовать Firefox с плагином NoScript
2. Устанавливайте все последние обновления с http://windowsupdate.microsoft.com/
3. Рекомендую проверять систему регулярно, утилитой CureIT
4. Регулярно обновляйте базы для вашего антивируса.
5. Не работайте с правами Администратора на компьютере.

После всех процедур, повторите логи AVZ и HiJackThis, но во время создания логов, настоятельно рекомендую, отлючиться от Интернета, и закрыть все программы, оставив только Internet Explorer.

1."Беру в карантин, потом проверите их (c:\windows\explorer.exe
;c:\windows\system32\ctfmon.exe" непонял эту фразу.Чем их проверить.У меня бывает очень часто (при открытии папок и не только) выскакивает какая-то системная ошибка и там постоянно фигурирует эта explorer.exe.
. И ещё с иконками постоянная проблемма ставлю нравившуюся мне иконку например на GIF а она не только на GIF появляется но ещё и на 3GP и на MOV и ещё кое на каких, и что самое странное потом всё это проходит, и через время опять клинит.
2.По поводу логов и закрытия всех программ я понял.Ещё один момент:надо обязательно включать Internet Explorer или можно и Firefox? И выключать надо только инет или и локальную сеть тоже.
3.Вот этот самый длинный код я так понял его тоже надо в AVZ выполнить.Так ведь?
4.Второй скрипт выполнить там же? В AVZ?
5.В результате какого скрипта будет создан файл quarantine.zip. Первого или второго?
6.Вы пишите чтоб я в Internet Explorer 7 отключил ActiveX и т.д. Но я никогда ею не пользовался у меня Firefox? "использовать Firefox с плагином NoScript" после того как я этот плагин установлю там надо где-нибудь,что-нибудь в настройках менять.И ещё это плагин надо включить на время деланья логов или вообще?
7. Утилиту CureIt использую регулярно не по одному разу в день бывает.
8.У меня NOD32 базы обновляются примерно раз в сутки.
9.Я вот что не понимаю почему нельзя на правах администратора как это-то может влиять.


В самом низу вы пишите "После всех процедур, повторите логи AVZ и HiJackThis, но во время создания логов, настоятельно рекомендую, отлючиться от Интернета, и закрыть все программы, оставив только Internet Explorer". Я не очень понял зачем второй раз логи делать.

Цитата из правил третий пункт.
Вы правильно поняли. :) Запускаете AVZ - выбираете меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
И инернет и локальную сеть тоже. :yes:В результате второго скрипта.Пользуйтесь FireFox'ом. Это общая рекомендация.Нет, этот плагин как совет вообще.
Для того чтобы убедиться, что вирусов больше нет.

Как чувствует себя компьютер после выполнения скрита? Проблемы какие-то наблюдаются?

Я забыл Enternet Explorer включить.Ничего если я ещё раз первый скрипт выполню.Или не в коем случае?
После первого выполнения из папки с AVZ нужно появившиеся папки в сторону откинуть или нет?
И ещё. После установки NoScript чо-то нифига не скачивается. Где можно по настройкам инфо. почитать, а то на офиц. всё по английски и через переводчик мало что понятно.Или если есть время напишите где там что выставить в настройках надо.И вообще для чего она нужна,что она делает?

Если вы уже выполнили этот скрипт:
То второй раз его выполнять не нужно. :)
Ничего никуда не нужно откидывать.

Карантин quarantine.zip отсылали?

Сделайте повторные логи, проделав инструкции со 2-го пункта.

Карантин ещё не отсылал, потому что думал что сначала надо сделать первый скрипт, потом появившиеся папки откинуть и сделать второй скрипт и появившиеся папки (только от второго без первого) уже отправлять. Но я ошибся.
Щас сделаю второй,затем отправлю и отпишу. А что по-поводу noscript? Нету никакой ссылочки?


Отправил.А долго ли ответ примерно ждать. И папки после первого скрипта оставить или они больше не понадобяться?


Скрипт нужно выполнить я так понимаю стандартный 2 и 3.Или вот этот последний:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('GMSIPCI', 4);
SetServiceStart('wscsvc', 4);
StopService('GMSIPCI');
StopService('wscsvc');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('spmk.sys','');
QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
DeleteFile('E:\INSTALL\GMSIPCI.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('GMSIPCI');
BC_DeleteSvc('wscsvc');
BC_Activate;
RebootWindows(true);
end.

и затем этот текстовый файл который после запуска HiJackThis остаётся.Вот эти два.Да?
Ещё пару вопросов:как мне отключить востановление системы. И если я на NOD выключу файервол то в панели управления брандмауэр уже выключать не надо.Правильно?
Вы не удивляйтесь что так много вопросов,я впервые и просто боюсь что-нибудь не так сделать.

Поскольку я не использую FireFox, то сказать ничего не могу, можете задать ваш вопрос в этой теме - Mozilla FireFoxПока ничего не удаляйте.
Второй и третий.
Нет, только второй. Тоесть, сделанный последним.Правой кнопкой мыши по Мой компьютер - Свойства - вкладка Восстановление системы - поставьте галочку "Отключить восстановление системы на всех дисках" - ОК.
Просто отключитесь от интернета и локальной сети и закройте NOD. :)

скрипт №2 http://exfile.ru/46021
скрипт №3 http://exfile.ru/46022
HiJackThis http://exfile.ru/46023

igoryanich, Проверил, логи чистые.

Проверьте ещё вашу систему Kaspersky Online Scanner'ом. Если у вас установлен Java, то нажмите кнопку Kaspersky Online Scanner. Выберите нужные диски и запустите сканирование. Если Java у вас не установлен, скачайте её с Java Runtime Environment. Установите и выполните проверку. После окончания проверки сохраните, заархивируйте лог файл и прикрепите к сообщению.

У вас установлена программа Cheetah DVD Burner? Файл videocore.dll может быть от неё.

Cheetah DVD Burner нету.
Но Malwarebytes' Anti-Malware всё ещё находит videocore.dll (nod почему-то не находит и CureIt тоже).
Антивирус надо выкл. перед тем как on-line проверять или ещё какие нибудь требования.
И ещё как узнать стоит ли у меня java? В поиске что то выдаёт но там почти все папки пустые и не одного весомого файла нет.
А что будет если этот trojan vundo videocore.dll удалить анти малвэйром?

Этими утилитами специально от этого типа вирусов сканировали?

На virustotal проверяли?
Можно отослать на анализ одному из вендоров.
http://vms.drweb.com/sendvirus/

Нет ими ещё не пробовал.
Вот и я о Vundofix хотел спросить. Ну так что убивать его без проверки on-line или сначала Vundofix а потом on-line.

igoryanich,
Да ты просканируй сначала. Если и Vundofix подтвердит, то уже с большой вероятностью вирус. В любом случае ничто не мешает сделать backup файла.

Backup это востановление системы. Сделать контрольную точку что ли. Это?

igoryanich, Backup файла. Ну какое восстановление. Сохрани файл куда-нибудь, а из system32 удали.

А куда-нибудь это на компьютере или на флешку можно.
Не удивляйся что много вопросов, я просто боюсь что-нибудь не так сделать.
И вспомни себя когда впервые с этим столкнулся.

Открывал Nero и вылезло сообщение Malwarebytes' Anti-Malware что этот vundo пыпается установить соединение с чем то там. Я ничайно поместил его в карантин. И при повторной проверке Malwarebytes' Anti-Malware обнаружил:
производитель-Trojan.Banker
категория-Registry Value
элемент-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1;http://bsalsa.com)
прочее-Value: user-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1;sv1;http://bsalsa.com)

Конечно можно.

А что с Trojan.Banker делать.

Ничего пока делать не нужно. Сначала выполните эту просьбу

Так vundo в карантине Malwarebytes' Anti-Malware. Его что нужно восстановить и провундофиксить :) комп.

Хорошо, после того как он находится в карантине, какие-либо проблемы в работе системы наблюдаются?

Проблем и не было,ну кроме того что в иконках я например для GIF задаю иконку а она появляется и на GIF и на MOV и ещё на паре форматов и иногда (очень редко) при запуске комп. он запускался раза с 5-7 а когда не запускался мигал белый пробел в левом верхнем углу экрана до безконечности. Просто при проверке Malwarebytes' Anti-Malware нашел этот vundo вот я и написал т.к. у меня это впервые и не знаю что делать.А теперь ещё и trojan.Banker этот.
Просто как-то не по себе когда в комп. вирусы всякие. А с иконками и с запуском я даже не знаю из-за вирусов это или нет.

Нет, это не из-за вирусов. :) .mov попробуйте ассоциировать с плеером (это мультимедийный формат). Было бы неплохо и их озвучить. Возможно это просто слетели ассоциации файлов.
А вот это возможно аппаратная проблема к сожалению, железо, не мой конёк.

по моему проблемы с загрузчиком Windows.

Drongo
Да ассоциировал.Помогло.От души.
Так что вундофиксить я так понимаю уже не нужно. Trojan.Banker тоже в карантин убрать или просто удалить.
И осталось ли надобность делать on-line проверку касперским?
iskander-k
Проблемы этой давно не наблюдал (тьфу,тьфу,тьфу).Буду надеятся что и не наблюду.

Просканируй для очистки совести.Удалять ничего пока не нужно.
Уже не нужно.

В vundofix две кнопки Scan For Vundo и Fix Vundo.
Антивирус надо выключать или ещё какие-нибудь требования к ней надо перед применением?

Жмите Scan for Vundo.Дополнительных требований нет, можно не выключать.

Там же в system32 vundofix нашел ещё 3 (зараженных как я понял) файла "NCTAudioFile2.dll","NCTAudioPlayer2.dll","NCTAudioRecord2.dll". Около них стоят галки и внизу написано "Done Scanning". Я ещё пока ничего не нажимал. Буду ждать ответа что делать дальше.

igoryanich, Проверьте эти три файла, здесь - http://www.virustotal.com/ru/

Всё отчеты которые там выдали здесь http://exfile.ru/46285
У меня ещё до сих пор vundofix открыт,Fix Vundo надо нажимать?

igoryanich, Не нужно нажимать. Файлы упакованы AsPack'ом. Всё нормально у вас. :)

Так а с этим trojan.banker что делать?

igoryanich, ничего не нужно удалять, видимо ложная тревога.

Так что,можно отмечать тему как отмеченной.

Всем огромнейшее спасибо все очень помогли в особенности Drongo,Severny и iskander-k. Родина вас не забудет. Да воздастся вам. Всем жму 5.ПОКА.

Опять Vundo появился. Как узнать откуда он берется? Я кроме музыки и фильмов ничегоне качал.

Системой восстановления не пользовались ?
Возможно зацепили во время скачивания. Были-ли битые видео- или аудио файлы которые не запускались ?

Нет битых не было. А не может быть так что в компе где-то что-то сидит и делает этот Vundo, я его удаляю а он (там где он сидит) делает его по новой. Дело в том что недавно удалил программу TrojanHunter (в нём троян и был), а она и сама в себе находила и в TotalKomander ещё,хотя ни nod не Malwarebytes' Anti-Malware и не CureIt ничего не находили. Вот я думаю может в тотале что нибудь есть. На VirusTotal проверял.

igoryanich, Очистите контрольные точки восстановления. Правой кнопкой по диску C: - Свойства - кнопка Очистка диска - вкладка Дополнительно - категория Восстановление системы - Очистить... - подтвердите - ОК. Проверьте снова. Если не будет Vundo, создайте новую контрольную точку.

Сегодня днём просто включил комп. и сканировал ей же, и она ничего не нашла. Я чо-то не пойму чо ей надо. Может она хочет чтоб я её снёс.
Drongo- А после того как очистил точки. Можно сразу же новую делать?

Можно.