VicD 0 Опубликовано 24 февраля, 2009 Share Опубликовано 24 февраля, 2009 Всем доброго времени суток! Помогите пожалуйста разобраться в следующем: при рабоет ПК, начали появляться сообщения об ошибке с уведомлением что приложение будет закрыто. Сообщения появляются с периодичностью в 30 сек (пример сообщения в прикрепленном файле), при чем от разных файлов (deleteme.exe 7l3m4x8d6.exe lpe.exe ssdswe.exe lpex.exe ssdswep.exe) Все файлы находятся в корне профиля пользователя (C:\documents and Settings\MAXIMATOR). Если их удалять - через время появляются снова + ко всему появляются новые файлы. В свойствах каждого из файлов в поле Original File Name стоит некий файлик UTool.exe либо просто UToo.exe. Кроме того что постоянно выкидываются сообщения с машиной ничего не происхдит - все ок, но сообщения очень уж раздражают! Пытался ставить апдейты, скачанные с сайта Microsoft, с помощью ComboFix - выдает ошибку. Язык системы отличается от языка апдейта. Логи AVZ и HiJack прикладываю. Заранее благодарен. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 24 февраля, 2009 Share Опубликовано 24 февраля, 2009 Winamp зачем включали? E:\setup.exe - это что? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('G:\autorun.inf',''); QuarantineFile('F:\Рабочий стол\Новая папка (7)\Новая папка (4)\Новая папка\Новая папка (3)\kocna.exe',''); QuarantineFile('a.sys',''); DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe'); DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}'); BC_ImportALL; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Пофиксить в HijackThis следующие строчки R3 - URLSearchHook: (no name) - - (no file) Включите AVZPM и повторите логи. Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
VicD 0 Опубликовано 26 февраля, 2009 Автор Share Опубликовано 26 февраля, 2009 все сделал, все логи в прикрепленных файлах. Карантин на почту был выслан. З.Ы. .... извините за задержку с ответом .... virusinfo_syscure_disc_C.zip virusinfo_syscure_all_discs.zip virusinfo_syscheck.zip rsit.rar hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 26 февраля, 2009 Share Опубликовано 26 февраля, 2009 (изменено) C:\WINDOWS\tasks\Microsoft_Hardware_Launch_setup_exe.job - знакомая задача? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe'); DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe'); DeleteFile('G:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe'); DeleteFile('C:\Documents and Settings\MAXIMATOR\Local Settings\Temporary Internet Files\Content.IE5\OGE4N1DU\BluE[1].exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Будем более радикально лечить: Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix: Скачайте установочный файл для своей ОС и сохраните на рабочий стол. Windows XP Professional с пакетом обновления 2 (SP2) Windows XP Home Edition с пакетом обновления 2 (SP2) Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2 Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы. Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. 2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его Изменено 26 февраля, 2009 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
VicD 0 Опубликовано 27 февраля, 2009 Автор Share Опубликовано 27 февраля, 2009 (изменено) Все сделал, логи в прикрепленных файлах. да и ошибок стало на много меньше будем надеяться что последние апдейты помогут )) ComboFix_log.txt Gmer.log mbam_log_2009_02_27__21_08_04_.txt Изменено 27 февраля, 2009 пользователем VicD Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 28 февраля, 2009 Share Опубликовано 28 февраля, 2009 :\WINDOWS\tasks\Microsoft_Hardware_Launch_setup_exe.job - знакомая задача? Вы не ответили. E:\wpistart.exe, e:\bin\Assetup.exe и F:\LaunchU3.exe - знакомы вам? И что это за диски E и F? Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Временно выключите антивирус, firewall и другое защитное программное обеспечение File:: Driver:: Folder:: Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e68d532-0333-11de-82e5-00138f4b9536}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77dd104a-fec7-11dd-903d-00138f4b9536}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4fbb330-5576-11dd-8d0b-00138f4b9536}] [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}] [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562}] FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Новый отчет ComboFixсохраниться в файл файл C:\ComboFix.txt . Выложите его. Цитата Ссылка на сообщение Поделиться на другие сайты
VicD 0 Опубликовано 28 февраля, 2009 Автор Share Опубликовано 28 февраля, 2009 (изменено) :\WINDOWS\tasks\Microsoft_Hardware_Launch_setup_exe.job - нет задача не знакома. E:\wpistart.exe, e:\bin\Assetup.exe и F:\LaunchU3.exe - нет не знакомы. E:\ - флешка, специально ее оставил чтобы и ее проверить. F:\-привод Логи будут позже ..... Изменено 28 февраля, 2009 пользователем VicD Цитата Ссылка на сообщение Поделиться на другие сайты
VicD 0 Опубликовано 4 марта, 2009 Автор Share Опубликовано 4 марта, 2009 Доброго времени суток! Сразу приношу извинения за столь поздний ответ. Не выдержал я - снес систему! Поставил новую зборку ZverCD + последние обновления. Пару дней все было ок - ни одной ошибки, но спустя некоторое время, снова начали вылетать ошибки EXPLORER.exe. Видимо зараза осталась гдето на диске Д ((( В приложенных файлах ЛОГИ. Заранее спасибо! virusinfo_syscure.zip virusinfo_syscheck.zip log_RSIT.txt info_RSIT.txt hijackthis.log Gmer_logs.log Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 5 марта, 2009 Share Опубликовано 5 марта, 2009 (изменено) 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322'); QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe',''); DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. 2.Пофиксить в HijackThis следующие строчки ) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) Повторите логи АВЗ и HJT. Изменено 5 марта, 2009 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
VicD 0 Опубликовано 5 марта, 2009 Автор Share Опубликовано 5 марта, 2009 Готово! Логи прикрепил, но по моему зараза осталась. В папке профиля файлы появляются, но сообщения к счастью не всплывают. ) virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 5 марта, 2009 Share Опубликовано 5 марта, 2009 Какие файлы появляются? Рабочий стол\Новая папка (7)\Новая папка (4)\Новая папка\Новая папка (3)\kocna.exe - это что-то ваше? Цитата Ссылка на сообщение Поделиться на другие сайты
VicD 0 Опубликовано 6 марта, 2009 Автор Share Опубликовано 6 марта, 2009 Файлы появляются в папке: C:\Documents and Settings\Admin\ с расширением ехе, имя похоже что береться произвольное(набор букв), но в свойствах файла указано все то же приложение UTool - хотя ничего такого не устанавливали. Да кстати, Пофиксить в HijackThis следующие строчки Код O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) так и не получилось, т.к. после сканирования HijackThis, ее просто не было. Рабочий стол\Новая папка (7)\Новая папка (4)\Новая папка\Новая папка (3)\kocna.exe - да какой-то рабочий мусор... нужно удалить. Есть еще одна машинка с такими же проблемами (выскакивают окна с уведомлением об ошибке и появляются файлы в папке профиля). Логи в прикрепленных файлах, заранее спасибо. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log RSIT_log.txt RSIT_info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 6 марта, 2009 Share Опубликовано 6 марта, 2009 По второму компу 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\ANR50PDM\EXP2[1].exe',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\CSCNN3W8\red[1].exe',''); QuarantineFile('C:\Documents and Settings\Admin\s2dsxdshd.exe',''); QuarantineFile('C:\Documents and Settings\Admin\sdsxxdshd.exe',''); QuarantineFile('C:\Documents and Settings\Admin\srdshd.exe',''); DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F387232'); DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F187332'); QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe',''); QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe',''); DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe'); DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\ANR50PDM\EXP2[1].exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\CSCNN3W8\red[1].exe'); DeleteFile('C:\Documents and Settings\Admin\s2dsxdshd.exe'); DeleteFile('C:\Documents and Settings\Admin\sdsxxdshd.exe'); DeleteFile('C:\Documents and Settings\Admin\srdshd.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. Повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.