Андрей797979 3 Опубликовано 17 июня, 2009 Автор Share Опубликовано 17 июня, 2009 AVZPM включен но почему то не работает драйвер...GMER запукается переименованный, но виснет...(4 раза и все намертво)...карантин высылаю интересно, предварительной карнины не видно? есть зловредность во всем эмом или нет? Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 17 июня, 2009 Share Опубликовано 17 июня, 2009 пока не понятно. Цитата Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 17 июня, 2009 Автор Share Опубликовано 17 июня, 2009 карантин отправил на 54712@rambler.ru лог от gmer не получается никак-виснет ВСЕ КОЛОМ Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 17 июня, 2009 Share Опубликовано 17 июня, 2009 Лог Gmer можно попробовать сделать в безопасном режиме. Цитата Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 17 июня, 2009 Автор Share Опубликовано 17 июня, 2009 че ни кто не может разгадать ребус................................ Цитата Ссылка на сообщение Поделиться на другие сайты
DaTa 7 Опубликовано 17 июня, 2009 Share Опубликовано 17 июня, 2009 че ни кто не может разгадать ребус................................ Скачайте Malware Bytes Отсюда . И проведите полное сканирование системы. По окончанию сканирования, удалите все вредоносные обьекты которые будут найдены, а нам пришлите отчет. Цитата Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 17 июня, 2009 Автор Share Опубликовано 17 июня, 2009 (изменено) я проверял Malwarebytes' Anti-Malware...базы сегодняшние-ни чего нету. Или она может быть повреждена? вот еще логи полученные в безопасном режиме лог от RSIT Скачайте Malware Bytes Отсюда . И проведите полное сканирование системы. По окончанию сканирования, удалите все вредоносные обьекты которые будут найдены, а нам пришлите отчет. Скачал, обновил, проверил-ничего не найдено вот лог от Malwarebytes' Anti-Malware gmer.log Vba32ArkitLog.html log.txt mbam_log_2009_06_17__21_46_44_.txt Изменено 17 июня, 2009 пользователем Андрей797979 Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 17 июня, 2009 Share Опубликовано 17 июня, 2009 (изменено) Отключите восстановление системы! В HiJackThis пофиксите O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file) O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing lsp fix! O23 - Service: BXLOWU - Broadcom Corporation. - (no file) O23 - Service: SPM License Server (SPMLM) - Unknown owner - (no file) В AVZ выполните скрипт. begin SearchRootkit(true,true); SetAVZGuardStatus(true); SetAVZPMStatus(true); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\Program Files\ATK Hotkey\ASLDRSrv.exe',''); QuarantineFile('C:\Windows\system32\drivers\63mzvws1.sys',''); QuarantineFile('C:\Windows\system32\F6EB.tmp',''); QuarantineFile('G:\AutoRun.exe',''); QuarantineFile('F:\AutoRun.exe',''); QuarantineFile('C:\Windows\system32\F6EB.tmp',''); QuarantineFile('ASMMAP.sys',''); QuarantineFile('SYBHMU.sys',''); QuarantineFile('SPMLM.sys',''); QuarantineFile('OLKMOXGBYM.sys',''); QuarantineFile('HED.sys',''); QuarantineFile('GYLBGH.sys',''); QuarantineFile('FKCT.sys',''); QuarantineFile('BXLOWU.sys',''); QuarantineFile('ATKGFNEXSrv.sys',''); DeleteFile('C:\Windows\system32\F6EB.tmp'); BC_DeleteSvc('MEMSWEEP2'); BC_ImportAll; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); ExecuteSysClean; BC_Activate; ExecuteRepair(1); ClearHostsFile; RebootWindows(true); end. Компьютер перезагрузится. Очистить кэш браузеров, временные папки. Скачайте полиморфный AVZ отсюда: http://rapidshare.com/files/240879548/Special_avz.zip Повторить логи в AVZ - стандартный скрипт номер 2 и 3. Выполните скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end. Так как модераторы молчат залейте карантин и файл boot_clr.log мне на почту. Строгое предупреждение от модератора Falcon У вас нет прав на запрос карантина, первое устное, убрал адрес. Нужно удалить бунжур. скачайте утилиту http://cexx.org/lspfix.htm перед удалением бунжур. инстуркция по применению утилиты http://www.bleepingcomputer.com/tutorials/tutorial59.html Как удалить бунжур - Bonjour: Пуск – Выполнить – cmd sc stop "Bonjour Service" ВВОД sc delete "Bonjour Service" ВВОД Затем запускаем lspfix - «I know what i`m doing…». - Выделяем mdnsnsp.dll и перемещаем его в правую сторону стрелочками -Finish. Перегружаемся. ps.иду в разрез с правилами по поводу пересылки карантина , так как не являюсь официальным консультантом )). Изменено 18 июня, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 18 июня, 2009 Автор Share Опубликовано 18 июня, 2009 (изменено) спасибо огромное! я уж думал тута ни кто не врубается откуда ветер дует. кстати-восстановление систем- отключал. как я понял, на мыло кинуть карантин2, а вот файл boot_clr.log где взять? новые логи полиморфного AVZ по скрипту: begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end. Карантин2-пустой......... мой ICQ 282305106. Кстати каспер постоянно ругается на этот IrpTableChanged У вас нет прав на запрос карантина, первое устное интересная политика форума. второй день никто не дал дельного совета, а строгочи выписываем не задумываясь bravo Строгое предупреждение от модератора Falcon Пункт 7 правил прочитайте повнимательнее. Пока устное. и как быть? каспер ругается, что подсказали-выполнил(не помогло) может че нить установить потив этого шпиона? Подскажите отукда скачать, а то скачиваю-все платные, кряков нет поставил Advanced Anti Keylogger триал версию, перзагрузился-не запускается. Тачпэд перестал работать, тока через мышку кроме как смеяться, ни че не остается....... virusinfo_syscure.zip Изменено 18 июня, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 18 июня, 2009 Share Опубликовано 18 июня, 2009 Модератор прав. Я же нарушил правило ). Посмотрю лог через час. А может ктото до меня подскажет... Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 18 июня, 2009 Share Опубликовано 18 июня, 2009 Никак не пойму симантек работает или нет? Цитата Ссылка на сообщение Поделиться на другие сайты
DaTa 7 Опубликовано 18 июня, 2009 Share Опубликовано 18 июня, 2009 (изменено) У вас в логе АВЗ все еще есть странности. Почему то очень много *.ax файлов которые запускаются из вашей папки. Для начала попробуйте создать нового юзверя с правами администратора, а старого удалите. Если у Вас хрюша то после удаления юзверя с консоли mmc (команда запускающая оснастку "Пользователи и групы" - lusrmgr.msc, если у вас домен контроллер то воспользуйтесь командой dsa.msc) удалите папку Z:\Documents and Settings\%USERPROFILE%, где Z: буква диска с установленой ОС(С: в большинстве случаев), %USERPROFILE% - имья вашего старого пользователя. Если у Вас Windows Longhorn(Windows Vista Inspirat) или Windows 7 то удалять следует папку: Z:\Users\%USERPROFILE% Удаление следует делать уже с новосозданного юзверя! Скачайте програму ATF Cleaner и при ее помощи почистите все временные файлы системы! И зделайте новые логи. Изменено 18 июня, 2009 пользователем DaTa Цитата Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 18 июня, 2009 Автор Share Опубликовано 18 июня, 2009 вроде все сделал как сказали вот логи AVZ и hijackthis для чистки применил CCleaner запустил демо версию Anti-Spy.Info, сделал скриншот(может пригодиться) virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 18 июня, 2009 Share Опубликовано 18 июня, 2009 (изменено) Кстати о битности. надеюсь операционка не 64 битная?. Если 64 бита - то AVZ бессилен. Строчки HiJackThis? которые я указал в посте выши фиксились? Программы запускались по правому щелчку мышью - Run As (запустить от имени)- от админа? зы. совет от DaTa в посте #27 бы выполнен? Изменено 18 июня, 2009 пользователем миднайт Цитата Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 18 июня, 2009 Автор Share Опубликовано 18 июня, 2009 (изменено) операционка 32, строчки профиксились, запуски только от админ. восстановл. сист. отключенно............. в нэте нашел похожую тему http://www.securitylab.ru/forum/forum18/topic48131/ Изменено 18 июня, 2009 пользователем Андрей797979 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.