Demin 0 Опубликовано 30 июня, 2009 Share Опубликовано 30 июня, 2009 Здравствуйте! Очередная засада с компом! Диспетчер задач, реестр - не запускаеться, AVZ4 - не распоковываеться и не запускаеться, В безопасном режиме не заходит Касперский устанавливаеться но не запускаеться, Жестоко тормозит, логи зделать не могу! На сайт касперского не заходит - проверить возможности нет! При установки флешки - заражаеться парой сотней вирусов! Какие будут советы? Зарание спасибо Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 июня, 2009 Share Опубликовано 30 июня, 2009 Попробовать полиморфный AVZ (ссылки в моей подписи) Цитата Ссылка на сообщение Поделиться на другие сайты
Demin 0 Опубликовано 1 июля, 2009 Автор Share Опубликовано 1 июля, 2009 Логи: hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 1 июля, 2009 Share Опубликовано 1 июля, 2009 Выполните в AVZ следующий скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\DRIVERS\CProCtrl.sys',''); DeleteService('abp470n5'); QuarantineFile('C:\WINDOWS\system32\drivers\hmskmn.sys',''); TerminateProcessByName('c:\docume~1\nadegda\locals~1\temp\yysqbi.exe'); QuarantineFile('c:\docume~1\nadegda\locals~1\temp\yysqbi.exe',''); TerminateProcessByName('c:\docume~1\nadegda\locals~1\temp\w96a08.exe'); QuarantineFile('c:\docume~1\nadegda\locals~1\temp\w96a08.exe',''); DeleteFile('C:\DOCUME~1\Nadegda\LOCALS~1\Temp\w96a08.exe'); DeleteFile('C:\DOCUME~1\Nadegda\LOCALS~1\Temp\yysqbi.exe'); DeleteFile('C:\WINDOWS\system32\drivers\hmskmn.sys'); DeleteFile('E:\autorun.inf'); DeleteFile('rhspkr.exe'); DeleteFile('E:\rhspkr.exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; BC_DeleteSvc('abp470n5'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите. Выполните в AVZ: begin SetAVZPMStatus(true); RebootWindows(true); end. Сделайте новый комплект логов AVZ. - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Приложите лог к сообщению. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Fasawe 69 Опубликовано 1 июля, 2009 Share Опубликовано 1 июля, 2009 Прошу обратить внимание на(стоит ли добавлять?): QuarantineFile('E:\linux.exe',''); BC_DeleteFile('e:\linux.exe'); (См. http://www.prevx.com/filenames/X8297801872...LINUX.EXE.html) Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 1 июля, 2009 Share Опубликовано 1 июля, 2009 Demin, E:\linux.exe - полиморфный AVZ, насколько я понимаю? Цитата Ссылка на сообщение Поделиться на другие сайты
Demin 0 Опубликовано 1 июля, 2009 Автор Share Опубликовано 1 июля, 2009 Совершенно верно полиморфный! Обычный не запускаеться! Цитата Ссылка на сообщение Поделиться на другие сайты
Demin 0 Опубликовано 2 июля, 2009 Автор Share Опубликовано 2 июля, 2009 Grem - не работает - при запуске висит! Есть другие варианты! Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 2 июля, 2009 Share Опубликовано 2 июля, 2009 Demin, скрипты выполняли? Если да, то новые логи делайте. Цитата Ссылка на сообщение Поделиться на другие сайты
Demin 0 Опубликовано 2 июля, 2009 Автор Share Опубликовано 2 июля, 2009 (изменено) Скрипты выполнил, логи ща выложу! Falcon только давай на как в прошлый раз! 8( с плачевным исходом! Лог Gmer Логи AVZ4 Gmer.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 2 июля, 2009 пользователем Demin Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 2 июля, 2009 Share Опубликовано 2 июля, 2009 Вы от сети отключались или у вас локалка и выход в интернет через локалку? Диск E: - что это? Цитата Ссылка на сообщение Поделиться на другие сайты
Demin 0 Опубликовано 2 июля, 2009 Автор Share Опубликовано 2 июля, 2009 Эт флешка! Она без вирусов! проверяеться постоянно при подключению к другим компьюторам! К сожалению при отключении сети я не смогу с вами общаться! Проверка Malwarebytes' Anti-Malware показала на данный момент 4 чируса! убиты! Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 2 июля, 2009 Share Опубликовано 2 июля, 2009 что на ней за авторан? Он создан вами или нет? Цитата Ссылка на сообщение Поделиться на другие сайты
Demin 0 Опубликовано 7 июля, 2009 Автор Share Опубликовано 7 июля, 2009 авторан не мой - при проверке на другом ПК он удаляеться! Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 7 июля, 2009 Share Опубликовано 7 июля, 2009 (изменено) Отключите системное восстановление, ПК отключите от интернета и локалки! В AVZ выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\txydc.pif',''); QuarantineFile('E:\autorun.inf',''); TerminateProcessByName('c:\docume~1\nadegda\locals~1\temp\w72691.exe'); TerminateProcessByName('c:\docume~1\nadegda\locals~1\temp\winaopsxm.exe'); QuarantineFile('C:\WINDOWS\system32\MsSip3.dll',''); QuarantineFile('C:\WINDOWS\system32\MsSip2.dll',''); QuarantineFile('C:\WINDOWS\system32\MsSip1.dll',''); StopService('abp470n5'); SetServiceStart('abp470n5', 4); DeleteService('abp470n5'); QuarantineFile('C:\WINDOWS\system32\drivers\hmskmn.sys',''); QuarantineFile('C:\DOCUME~1\Nadegda\LOCALS~1\Temp\aujasnkj.sys',''); QuarantineFile('C:\DOCUME~1\Nadegda\LOCALS~1\Temp\winaopsxm.exe',''); QuarantineFile('C:\DOCUME~1\Nadegda\LOCALS~1\Temp\w72691.exe',''); QuarantineFile('c:\docume~1\nadegda\locals~1\temp\winaopsxm.exe',''); QuarantineFile('c:\docume~1\nadegda\locals~1\temp\w72691.exe',''); DeleteFile('c:\docume~1\nadegda\locals~1\temp\w72691.exe'); DeleteFile('c:\docume~1\nadegda\locals~1\temp\winaopsxm.exe'); DeleteFile('C:\DOCUME~1\Nadegda\LOCALS~1\Temp\w72691.exe'); DeleteFile('C:\DOCUME~1\Nadegda\LOCALS~1\Temp\winaopsxm.exe'); DeleteFile('C:\DOCUME~1\Nadegda\LOCALS~1\Temp\aujasnkj.sys'); DeleteFile('C:\WINDOWS\system32\drivers\hmskmn.sys'); DeleteFile('C:\WINDOWS\system32\MsSip1.dll'); DeleteFile('C:\WINDOWS\system32\MsSip2.dll'); DeleteFile('C:\WINDOWS\system32\MsSip3.dll'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\txydc.pif'); SetServiceStart('RemoteRegistry', 4); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(11); ExecuteRepair(17); RebootWindows(true); end. ПК перезагрузится. Выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите. Сделайте еще один комплект логов. Все манипуляции делать с отключенным интернетом\локалкой!(кроме отправки почты и написания постов на форум конечно же) E:\txydc.pif - это что за файл? Изменено 7 июля, 2009 пользователем миднайт Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.