kilo Опубликовано 10 сентября, 2009 Опубликовано 10 сентября, 2009 В автозагрузке полно непонятных dll, которых там раньше не было видно. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
AlexNEW Опубликовано 11 сентября, 2009 Опубликовано 11 сентября, 2009 (изменено) Можно отчёт GetSystemInfo нам он поможет проверить вашу систему на не совместимые программы и т.д. Так же по логам у вас есть подозрения на RootKit Сделайте следующее: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: * Sections * IAT/EAT * Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Изменено 11 сентября, 2009 пользователем Alexsandr56
миднайт Опубликовано 11 сентября, 2009 Опубликовано 11 сентября, 2009 (изменено) Почему AVZ запущен из архива? Так не годится. В Хиджеке пофиксите: R3 - URLSearchHook: (no name) - - (no file) O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') В АВЗ выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}'); DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll',''); QuarantineFile('C:\Program Files\Opera QCon\OperaQC.exe',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',3,3,true); RebootWindows(true); end. Файлы C:\Program Files\Opera QCon\OperaQC.exe и G:\RECYCLER\sEtUp.exe проверьте на virustotal.com Базы обновить, АВЗ азпускать НЕ из архива, логи повторите. Так же по логам у вас есть подозрения на RootKit Где именно? Покажите пожалуйста. Изменено 11 сентября, 2009 пользователем миднайт 1
AlexNEW Опубликовано 11 сентября, 2009 Опубликовано 11 сентября, 2009 Где именно? Покажите пожалуйста. (смотрите скриншот) AVZ подозревает эти файлы в руткитах. Поэтому проверку GMER сделать нужно.
миднайт Опубликовано 11 сентября, 2009 Опубликовано 11 сентября, 2009 Alexsandr56, насчет этих файлов можно не беспокоиться.
thyrex Опубликовано 11 сентября, 2009 Опубликовано 11 сентября, 2009 (изменено) В автозагрузке полно непонятных dll, которых там раньше не было видно.Раньше Вы делали логи, с помощью версии AVZ 4.30 А теперь делаете с помощью AVZ 4.32 [+++] Менеджер автозапуска - добавлен анализ ряда новых нестандартных методов автозапуска, поддержка этих методов соответственно распространяется на эвристическую чистку системы (LSA провайдеры, Perfomance DLL службы, DLL расширения службы, расширение службы EventLog) Выполните рекомендации из сообщения №3 Изменено 11 сентября, 2009 пользователем thyrex
AlexNEW Опубликовано 11 сентября, 2009 Опубликовано 11 сентября, 2009 Лог Gmer делать? Да, лучше сделайте и не забудьте про GetSystemInfo.
kilo Опубликовано 12 сентября, 2009 Автор Опубликовано 12 сентября, 2009 (изменено) новые логи http://www.virustotal.com/ru/analisis/db17...0c3d-1252716742 virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 12 сентября, 2009 пользователем kilo
snifer67 Опубликовано 12 сентября, 2009 Опубликовано 12 сентября, 2009 Логи чисты.Лог gmera куда делся ?
thyrex Опубликовано 12 сентября, 2009 Опубликовано 12 сентября, 2009 Вас просили проверить еще файл G:\RECYCLER\sEtUp.exe Результатов проверки не видно.
kilo Опубликовано 13 сентября, 2009 Автор Опубликовано 13 сентября, 2009 G:\RECYCLER\ - пустая, там нет этого файла
миднайт Опубликовано 13 сентября, 2009 Опубликовано 13 сентября, 2009 По последним логам кроме G:\RECYCLER\sEtUp.exe ничего плохого не нашел.
thyrex Опубликовано 13 сентября, 2009 Опубликовано 13 сентября, 2009 G - это флэшка? Показ скрытых и системных файлов включен?
Рекомендуемые сообщения