Помогите-ВИРУСЫ

[Ell]

нашёл папку "Новая папка.exe"

угу. оно

У меня есть Касперский kav5.0.227_personalru

что за древность... 7 kis скачай.

Если всё-таки я скачаю обновления, мне это поможет?

вряд ли. поддержка этой версии официально прекращена.

я поищу о нём инфу..

я модификацию не знаю...

[kinder]

Ell

что за древность... 7 kis скачай

а я, если честно, вообще антивирусами не пользуюсь. Предпочитаю Файервол)) с ним у меня проблем меньше))

поддержка этой версии официально прекращена

аа, понятно.. жаль)

я модификацию не знаю...

вобщем я попробую кое-что сделать.. удалить из реестра.. и все эти папки.exe.
Потом сообщу о результатах))
И avz использую..

[Ell]

Предпочитаю Файервол))

я надеюсь ты осознаешь, что это разные вещи?

аа, понятно.. жаль)

наоборот хорошо. быстрее переползут на новые версии.

вобщем я попробую кое-что сделать.. удалить из реестра.. и все эти папки.exe.

попробуй..хотя не зная точного названия это сложно будет сделать..
есть вероятность появления их снова.

[kinder]

Ell
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Протокол антивирусной утилиты AVZ версии 4.14
Загружена база: 20005 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.02.2006 16:54
Загружены микропрограммы эвристики: 357
Загружены цифровые подписи системных файлов: 47597
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (559) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ED5FC4<>77E805D8
Функция kernel32.dll:LoadLibraryExA (560) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ED5FD3<>77E805B8
Функция kernel32.dll:LoadLibraryExW (561) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ED5FF1<>77E8049B
Функция kernel32.dll:LoadLibraryW (562) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ED5FE2<>77E7296F
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=074C00)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
  SDT = 80548C00
  KiST = 81A35510 (297)
>>> Внимание, таблица KiST перемещена ! (80500624(284)->81A35510(297))
Функция ZwClose (19) перехвачена (805765C1->F408E2E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcess (2F) перехвачена (8059E61D->F408E000), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (80584346->F408E170), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (805751D5->F408E420), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (80583298->F408EBAE), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwOpenProcess (7A) перехвачена (8056AE3A->F408DE00), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryInformationFile (97) перехвачена (8057A210->F408E8EE), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057E7BA->F408EA2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwResumeThread (CE) перехвачена (80583394->F408EB8E), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetInformationProcess (E4) перехвачена (8058345A->F4090950), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwTerminateProcess (101) перехвачена (805706DC->F408E7A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Проверено функций: 284, перехвачено: 11, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 15
Количество загруженных модулей: 243
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\MyWebSearch\bar\4.bin\F3HISTSW.DLL >>>>> AdWare.Win32.ToolBar.MyWebSearch  успешно удален
C:\Program Files\MyWebSearch\bar\4.bin\F3RESTUB.DLL >>>>> AdWare.Win32.ToolBar.MyWebSearch  успешно удален
C:\Program Files\MyWebSearch\bar\4.bin\F3WPHOOK.DLL >>>>> AdvWare.Win32.MyWebSearch  успешно удален
C:\Program Files\MyWebSearch\bar\4.bin\M3OUTLCN.DLL >>>>> AdvWare.ToolBar.MyWebSearch  успешно удален
C:\System Volume Information\_restore{7F08CD07-C9AF-4D55-A627-086ACE4CBFD4}\RP67\A0024212.DLL >>>>> AdWare.Win32.ToolBar.MyWebSearch  успешно удален
C:\System Volume Information\_restore{7F08CD07-C9AF-4D55-A627-086ACE4CBFD4}\RP67\A0024213.DLL >>>>> AdWare.Win32.ToolBar.MyWebSearch  успешно удален
C:\System Volume Information\_restore{7F08CD07-C9AF-4D55-A627-086ACE4CBFD4}\RP67\A0024214.DLL >>>>> AdvWare.Win32.MyWebSearch  успешно удален
C:\System Volume Information\_restore{7F08CD07-C9AF-4D55-A627-086ACE4CBFD4}\RP67\A0024215.DLL >>>>> AdvWare.ToolBar.MyWebSearch  успешно удален
C:\WINDOWS\system32\f3PSSavr.scr >>>>> AdvWare.Win32.MyWebSearch  успешно удален
D:\утилиты\Утилиты 2005 (1)\Media\GoldWave\gwave508.exe Invalid file - not a PKZip file
Автоматическая чистка следов удаленных в ходе лечения программ
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\System32\wmdrtc32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\System32\wmdrtc32.dll>>> Нейросеть: файл с вероятностью 99.69% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 5 TCP портов и 6 UDP портов
>>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
>>> C:\Program Files\MyWebSearch\SrchAstt\4.bin\MWSSRCAS.DLL ЭПС: подозрение на  Spy.MyWay, AdvWare.GoWebSite (высокая степень вероятности)
>>> C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL ЭПС: подозрение на  Spy.MyWebSearch
>>> C:\Program Files\MyWebSearch\SrchAstt\4.bin\MWSSRCAS.DLL ЭПС: подозрение на  Spy.MyWebSearch
Проверка завершена
Просканировано файлов: 139344, извлечено из архивов: 115739, найдено вредоносных программ 9
Сканирование длилось 00:20:35

Ещё DrWeb тоже обнаружил вирус Win32.Sector

[Ell]

kinder
я так и знала. на машине ещё [Для просмотра ссылки зарегистрируйтесь]
[Для просмотра ссылки зарегистрируйтесь] - это как его пролечить + в avz выполнить следующий скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\wmdrtc32.dll','');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\4.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL');
ExecuteSysClean;
RebootWindows(false);
end.

+ после удаления варезова должны запускаться антивирусные по. ставьте каспера 7 и утилиту др веба и гоняйте комп снова.

[kinder]

Ell
спасибки!!
Только похоже у меня старая версия avz. Там нет вкладки "Выполнить скрипт "..

ставьте каспера 7

у меня просто черепаший интернет. мне пол-дня нужно скачивать несчастные несколько мегабайт.. мой старый каспер весит 10 МБ. а новый наверное ещё больше. , базы.. вобщем, многовато..

утилиту др веба

у меня DrWeb CureIt. за 2007 г. попробую с помощью него почистить.

Результаты сообщу завтра!  

[kinder]

Ell

Ну что там с вирусом?

на удивление всё прошло легко и без проблем!  

Почему-то в Авторане вирус не был прописан.. Я его тупо удалял через ДрВеб обновлённый)) А Касперский 5, ты права, можно на свалку - ничего не находил и не работал..

Вобщем, я все папки.exe удалил. Сделал полную проверку антивирусом. Переустановил Винду. Теперь вроде у них всё работает! Проявлений признаков вируса больше нет..  

[Ell]

Прошу обратить внимание на некоторые изменения данной темы. Инструкция была дополнена, тема разделена на две. Подробнее в первом посте. После этого поста никаких скидок на "привычку"  

[Lestor]

Ell

Привет!

Подскажи пожалуйста что значит эта строка:

Функция kernel32.dll:LoadLibraryA (754) перехвачена, метод APICodeHijack.JmpTo[10005AE6]

А так AVZ пишит что все в норме.....

GetSystemInfo половину железа не смог ваще определить...
может потому что у меня ноутбук?  

[Ell]

Функция kernel32.dll:LoadLibraryA (754) перехвачена, метод APICodeHijack.JmpTo[10005AE6]

это в норме. это обращение ядра к инструкции

А так AVZ пишит что все в норме.....

авз не обязательно должен писать что в норме, а что нет. главное в этой утилите-это лог, который она делает, а не её выводы что нормально, а что нет.

GetSystemInfo половину железа не смог ваще определить... может потому что у меня ноутбук?

возможно. бывают такие проблемы с нестандартным железом. кто производитель железа? фирма ноутбука?