[решено] Усиленный режим антивируса nod 32 - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Усиленный режим антивируса nod 32 (http://forum.oszone.net/showthread.php?t=211100)

Усиленный режим антивируса nod 32

Жду помощи, заранее спасибо)

Здравствуйте,

Сделайте логи правильно, следуя этой инструкции.

Перед выполнением zip-папку с UVS нужно распаковать . По логу вижу что вы запускали Start из zip-архива. нужно обязательно извлечь из архива !

Скачайте 1.txt

Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Скрипт" => Выполнить скрипт из файла..." и укажите скачанный 1.txt
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

или

Скачайте 1.txt откройте скопируйте всё содержимое и выполните инструкцию.
Скопируйте скрипт подготовленный для вас консультантом
Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."

После выполнения скрипта зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта (например:2011-06-30_22-04-27.7z) если архив отсутствует, то заархивруйте папку ZOO с паролем virus. И отправьте на адрес quarantine<at>safezone.cc(at=@) в заголовке (теме) письма укажите ссылку на тему где вам оказывается помощь.

Подробнее - Universal Virus Sniffer

После выполнения сообщите результаты и выполните новый лог UVS, выложите к следующему сообщению .

Программа запрашивает убить или не убить фойл, потому как он используется процессом... что делать? да или нет?

Цитата:

Цитата gayane111

Программа запрашивает убить или не убить фойл, »

какая программа , какой файл ?

Примените и выполните скрипт.

Запустила start, сделала дальше все как вы говорили, выполнила скрипт из файла 1 все запустилось, а теперь выскочило окошко "запрос"
C/DOCUME/....... используется процессом убить его?

Да конечно.

Думаю все получилось! теперь можно устанавливать новый антивирус? или еще что-то?

еще - это

Цитата:

Цитата iskander-k

После выполнения сообщите результаты и выполните новый лог UVS, выложите к следующему сообщению . »

+ для профилактики

Выложите логи в соответствии с этими инструкциями.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

А где вставлять пароль "вирус"? и отправлять все что получилось по електронке?

Цитата:

Цитата gayane111

А где вставлять пароль "вирус"? »

Если в папке UVS->в папке ZOO ->есть архив - >то его и отправляйте на указанный адрес.
Если там нет архива то заархивируйте папку ZOO и при архивации укажите пароль virus

У меня winrar , ничего не запрашивая он просто архивирует и все...
А нужен именно архив? у меня есть текстовый файл с датой и временем.... это не то, что нужно?
Извените за тупость))) просто не все сразу доходит, что и как нужно делать))))

Когда начинать делать новые логи?

прям щас и начинайте :)

А логи должны быть только в формате архивов? Я почему спрашиваю, просто у меня после проделывания всех процедур появился файл txt с датой временем. Это то, что нужно или нет?

Цитата:

Цитата iskander-k

Если в папке UVS->в папке ZOO ->есть архив - >то его и отправляйте на указанный адрес.
Если там нет архива то заархивируйте папку ZOO и при архивации укажите пароль virus »

Цитата:

Цитата gayane111

А логи должны быть только в формате архивов? Я почему спрашиваю, просто у меня после проделывания всех процедур появился файл txt с датой временем. Это то, что нужно или нет? »

Это лог сканирования MBAM, архивировать не нужно.

Вот новый лог.

gayane111,
Внимательно читаем !

Цитата:

Цитата iskander-k

Цитата:

Цитата gayane111

всех процедур появился файл txt с датой временем »

Цитата:

Цитата gayane111

Вот новый лог. »

Это отчет UVS/

Сделайте снова лог-образ как в вашем первом псообщении.

Цитата:

Цитата gayane111

А где вставлять пароль "вирус"? »

В папке UVS есть папка ZOO ? В ней и должен быть уже архив с паролем.

Архива в zoo нет, я эту папку заархивиролвала и вставила туда этот пароль, на почту отправила. Новый лог высылаю. Спасибо за терпение. Признаюсь чесно, что если бы ко мне такой чайник, как я обратился - я бы уже головой об стенку билась или на потолок вылезла бы! но и процедура удаления вируса тоже не из приятных))) без 100 грамм не разберешься)))

Сделайте еще указанные логи АВЗ и МБАМ.

Цитата:

Цитата gayane111

вставила туда этот пароль, на почту отправила. »

На какую ? я не вижу вашего карантина.

В этом логе у вас чисто. Но хочется увидеть и дополнительные логи,которые я запросил.

вот мои логи

Вы забыли про лог МБАМ

Цитата:

Цитата iskander-k

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите [/post]

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) -. Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\ufa\ufa.exe','');

 DeleteFile('C:\WINDOWS\ufa\ufa.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(13);

ExecuteWizard('TSW',2,3,true);

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

Malwarebytes' Anti-Malware 1.51.1.1800

Код:

www.malwarebytes.org



Версия базы данных: 7196



Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512



19.07.2011 10:39:18

mbam-log-2011-07-19 (10-38-45).txt



Тип сканирования: Полное сканирование (C:\|D:\|)

Просканированные объекты: 188570

Времени прошло: 1 часов, 10 минут, 18 секунд



Зараженные процессы в памяти: 0

Зараженные модули в памяти: 0

Зараженные ключи в реестре: 1

Зараженные параметры в реестре: 0

Объекты реестра заражены: 7

Зараженные папки: 0

Зараженные файлы: 36



Зараженные процессы в памяти:

(Вредоносных программ не обнаружено)



Зараженные модули в памяти:

(Вредоносных программ не обнаружено)



Зараженные ключи в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken.



Зараженные параметры в реестре:

(Вредоносных программ не обнаружено)



Объекты реестра заражены:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.



Зараженные папки:

(Вредоносных программ не обнаружено)



Зараженные файлы:

c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.

c:\program files\total commander\Soft\fitW\fitW.exe (Malware.Packer.Gen) -> No action taken.

c:\system volume information\_restore{90992c90-1790-41ec-8d79-4b39a0074bb7}\rp13\a0012035.exe (Backdoor.Delf) -> No action taken.

c:\system volume information\_restore{90992c90-1790-41ec-8d79-4b39a0074bb7}\rp13\a0012039.exe (Trojan.VkHost) -> No action taken.

c:\system volume information\_restore{90992c90-1790-41ec-8d79-4b39a0074bb7}\rp13\a0012043.exe (Trojan.Agent) -> No action taken.

c:\system volume information\_restore{90992c90-1790-41ec-8d79-4b39a0074bb7}\rp13\a0012044.exe (Trojan.Agent) -> No action taken.

c:\system volume information\_restore{90992c90-1790-41ec-8d79-4b39a0074bb7}\rp13\a0012045.exe (Trojan.Agent) -> No action taken.

c:\system volume information\_restore{90992c90-1790-41ec-8d79-4b39a0074bb7}\rp6\a0004939.exe (Trojan.Agent) -> No action taken.

c:\uvs_v364\zoo\2151261.exe._61b783a60cb23aac22415111ba3fc45b932363d2 (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\2152018.exe._17a9c07b883c079163e862b5287ff91e09ebaacd (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\2263229.exe._eab4b10a8b8f925844e26eae472fcc48037ee8ad (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\418574.exe._eab4b10a8b8f925844e26eae472fcc48037ee8ad (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\4721308.exe._b6de276a3eca27e84762ed8cf15df8f41f599dab (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\568248.exe._e026690394207bad068d34edd14fdf5cbac0d178 (Backdoor.Delf) -> No action taken.

c:\uvs_v364\ZOO\6445285.exe._62f9aa3df1e9e14cecaca072e0e9ee8383e46c0f (Trojan.VkHost) -> No action taken.

c:\uvs_v364\ZOO\7045610.exe._9ae10ed64bfb6a364cd7623d4af2755df9a8f6e7 (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\8384833.exe._eab4b10a8b8f925844e26eae472fcc48037ee8ad (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\8884338.exe._354eef92708d71bd977a4dbd5b411635f602c331 (Trojan.Downloader.H) -> No action taken.

c:\uvs_v364\ZOO\htmlview.fne._7f2a81dd392f1c6cdee1320481ef2dbf482efe8e (HackTool.Patcher) -> No action taken.

c:\uvs_v364\ZOO\internet.fne._c999fb18ecb5c5e79b1db0035d540206f0ef7eca (HackTool.Patcher) -> No action taken.

c:\uvs_v364\ZOO\krnln.fnr._60564236082090caaea988df93c9098879a5cff9 (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\services32.exe._78e6689df2dafde92b09e473a55ef595168840f3 (Trojan.Dropper) -> No action taken.

c:\uvs_v364\ZOO\svchost.exe._62f9aa3df1e9e14cecaca072e0e9ee8383e46c0f (Trojan.VkHost) -> No action taken.

c:\uvs_v364\ZOO\svchost.exe._78e6689df2dafde92b09e473a55ef595168840f3 (Trojan.Dropper) -> No action taken.

c:\uvs_v364\ZOO\sysdriver32.exe._eab4b10a8b8f925844e26eae472fcc48037ee8ad (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\sysdriver32_.exe._eab4b10a8b8f925844e26eae472fcc48037ee8ad (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\systemup.exe._61b783a60cb23aac22415111ba3fc45b932363d2 (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\4871409.exe._53311afc2ba2c472b49e496bae8c6ae29f58c01e (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\l1rezerv.exe._e026690394207bad068d34edd14fdf5cbac0d178 (Backdoor.Delf) -> No action taken.

c:\WINDOWS\system32\2676C3\cnvpe.fne (Worm.Autorun) -> No action taken.

c:\WINDOWS\system32\2676C3\HtmlView.fne (HackTool.Patcher) -> No action taken.

c:\WINDOWS\system32\2676C3\internet.fne (HackTool.Patcher) -> No action taken.

c:\WINDOWS\system32\2676C3\krnln.fnr (Trojan.Agent) -> No action taken.

c:\WPA_Kill\Crypt.dll (Hacktool) -> No action taken.

d:\nero-7.5.7.0_rus\nero.burning.rom.7.x.exe (RiskWare.Tool.HCK) -> No action taken.

d:\system volume information\_restore{90992c90-1790-41ec-8d79-4b39a0074bb7}\RP4\A0002572.exe (PUP.SmsPay) -> No action taken.

Пофиксить в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

удалите в МВАМ

Код:

Зараженные ключи в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken.



Объекты реестра заражены:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.



Зараженные файлы:

c:\uvs_v364\zoo\2151261.exe._61b783a60cb23aac22415111ba3fc45b932363d2 (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\2152018.exe._17a9c07b883c079163e862b5287ff91e09ebaacd (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\2263229.exe._eab4b10a8b8f925844e26eae472fcc48037ee8ad (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\418574.exe._eab4b10a8b8f925844e26eae472fcc48037ee8ad (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\4721308.exe._b6de276a3eca27e84762ed8cf15df8f41f599dab (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\568248.exe._e026690394207bad068d34edd14fdf5cbac0d178 (Backdoor.Delf) -> No action taken.

c:\uvs_v364\ZOO\6445285.exe._62f9aa3df1e9e14cecaca072e0e9ee8383e46c0f (Trojan.VkHost) -> No action taken.

c:\uvs_v364\ZOO\7045610.exe._9ae10ed64bfb6a364cd7623d4af2755df9a8f6e7 (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\8384833.exe._eab4b10a8b8f925844e26eae472fcc48037ee8ad (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\8884338.exe._354eef92708d71bd977a4dbd5b411635f602c331 (Trojan.Downloader.H) -> No action taken.

c:\uvs_v364\ZOO\htmlview.fne._7f2a81dd392f1c6cdee1320481ef2dbf482efe8e (HackTool.Patcher) -> No action taken.

c:\uvs_v364\ZOO\internet.fne._c999fb18ecb5c5e79b1db0035d540206f0ef7eca (HackTool.Patcher) -> No action taken.

c:\uvs_v364\ZOO\krnln.fnr._60564236082090caaea988df93c9098879a5cff9 (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\services32.exe._78e6689df2dafde92b09e473a55ef595168840f3 (Trojan.Dropper) -> No action taken.

c:\uvs_v364\ZOO\svchost.exe._62f9aa3df1e9e14cecaca072e0e9ee8383e46c0f (Trojan.VkHost) -> No action taken.

c:\uvs_v364\ZOO\svchost.exe._78e6689df2dafde92b09e473a55ef595168840f3 (Trojan.Dropper) -> No action taken.

c:\uvs_v364\ZOO\sysdriver32.exe._eab4b10a8b8f925844e26eae472fcc48037ee8ad (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\sysdriver32_.exe._eab4b10a8b8f925844e26eae472fcc48037ee8ad (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\systemup.exe._61b783a60cb23aac22415111ba3fc45b932363d2 (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\4871409.exe._53311afc2ba2c472b49e496bae8c6ae29f58c01e (Trojan.Agent) -> No action taken.

c:\uvs_v364\ZOO\l1rezerv.exe._e026690394207bad068d34edd14fdf5cbac0d178 (Backdoor.Delf) -> No action taken.

c:\WINDOWS\system32\2676C3\cnvpe.fne (Worm.Autorun) -> No action taken.

c:\WINDOWS\system32\2676C3\HtmlView.fne (HackTool.Patcher) -> No action taken.

c:\WINDOWS\system32\2676C3\internet.fne (HackTool.Patcher) -> No action taken.

c:\WINDOWS\system32\2676C3\krnln.fnr (Trojan.Agent) -> No action taken.

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

А как удалять в МВАМ?

gayane111, Как удалять с помощю MBAM указанные в теме элементы?
- Запустите MBAM
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).

Цитата:

Цитата SolarSpark

нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). »

Если не желаете удалять какое-либо значение то снимите галку с нужного пункта.

Но то что указано SolarSpark, удалите обязательно.

Огромное спасибо! Уже все ок!

Чистого интернета