foxi_нья Опубликовано 25 сентября, 2009 Share Опубликовано 25 сентября, 2009 День добрый! Стоит КИС2010, пробн. В отчете выводит 18 зловредов, а ничего больше с ними не делает... История моя долгая и запутанная, а знаю я так мало, что можно я просто вложу свои логи и буду ждать ответ? Но если будет необходимо, то сформулировать все же попытаюсь. Заранее спасибо! virusinfo_syscheck.zipПолучение информации... virusinfo_syscure.zipПолучение информации... hijackthis.logПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Константин Артурыч Опубликовано 25 сентября, 2009 Share Опубликовано 25 сентября, 2009 Извиняюсь за возможно глупый вопрос: Вы уязвимости не путаете с вирусами? Ссылка на комментарий Поделиться на другие сайты More sharing options...
foxi_нья Опубликовано 25 сентября, 2009 Автор Share Опубликовано 25 сентября, 2009 Не должна вроде ))) Показывает Backdoor, trojan.Buzus и еще много разных зверей, даж какой-то HEUR... Ссылка на комментарий Поделиться на другие сайты More sharing options...
миднайт Опубликовано 25 сентября, 2009 Share Опубликовано 25 сентября, 2009 (изменено) Отключите ПК от интернета и локалки. Отключите антивирус и фаервол. В AVZ выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('hulkeqme'); DeleteService('hulkeqme'); QuarantineFile('C:\WINDOWS\system\smsc.exe',''); QuarantineFile('C:\WINDOWS\system32\sysmgr.exe',''); QuarantineFile('C:\WINDOWS\system\dllcache.exe',''); QuarantineFile('C:\WINDOWS\system32\..\ufxduhc.jvo',''); QuarantineFile('C:\WINDOWS\system32\..\fmddrq.vqf',''); QuarantineFile('C:\WINDOWS\msmacro64.exe',''); QuarantineFile('C:\WINDOWS\msmacro32.exe',''); QuarantineFile('usb_mgr.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys',''); DeleteFile('usb_mgr.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys'); DeleteFile('C:\WINDOWS\msmacro32.exe'); DeleteFile('C:\WINDOWS\msmacro64.exe'); DeleteFile('C:\WINDOWS\system\dllcache.exe'); DeleteFile('C:\WINDOWS\system32\sysmgr.exe'); DeleteFile('C:\WINDOWS\system\smsc.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end. Повторите логи + сделайте лог программой Gmer. В AVZ - Сервис - поиск файлов на диске - поищите на диске С файлы ufxduhc.jvo и fmddrq.vqf , проверьте их на virustotal.com Результат напишите тут. Изменено 25 сентября, 2009 пользователем миднайт Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 25 сентября, 2009 Share Опубликовано 25 сентября, 2009 (изменено) Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('hulkeqme'); DeleteService('hulkeqme'); QuarantineFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys',''); QuarantineFile('C:\WINDOWS\system\dllcache.exe',''); QuarantineFile('C:\WINDOWS\system\smsc.exe',''); QuarantineFile('C:\WINDOWS\system32\sysmgr.exe',''); QuarantineFile('C:\WINDOWS\system32\..\ufxduhc.jvo',''); QuarantineFile('C:\WINDOWS\system32\..\fmddrq.vqf',''); QuarantineFile('C:\WINDOWS\msmacro64.exe',''); QuarantineFile('C:\WINDOWS\msmacro32.exe',''); DeleteFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys'); DeleteFile('C:\WINDOWS\system\dllcache.exe'); DeleteFile('C:\WINDOWS\msmacro32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','netmon'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msmacro32'); DeleteFile('C:\WINDOWS\msmacro64.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msmacro32'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msmacro32'); DeleteFile('C:\WINDOWS\system32\sysmgr.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager'); DeleteFile('C:\WINDOWS\system\smsc.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WSSVC'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Сделайте новые логи. Изменено 25 сентября, 2009 пользователем snifer67 Ссылка на комментарий Поделиться на другие сайты More sharing options...
foxi_нья Опубликовано 25 сентября, 2009 Автор Share Опубликовано 25 сентября, 2009 Логи выполнять по очереди? И после каждого выложить новые? И.. Не могу загрузить этот gmer/ Страничка с ним не хочет открываться. Мож пока без него? Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 25 сентября, 2009 Share Опубликовано 25 сентября, 2009 Скрипт выполнять любой,два скрипта выполнять не надо.Можно пока без gmera обойтись.Логи выполнять одни. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 25 сентября, 2009 Share Опубликовано 25 сентября, 2009 Выбирайте любой, а то подерутся еще. Гмер возьмите из вложения. gmer.rarПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
foxi_нья Опубликовано 27 сентября, 2009 Автор Share Опубликовано 27 сентября, 2009 Прошу прощения за такую неоперативность... Нахожусь в статусе молодой мамашки, не всегда есть время и силы ))) Выполнила 1й скрипт, по праву очередности, без обид На диске С первый файл не найден, второй указанный найден. Результат я бы не против написать, только там как-то много очень информации.... Можно я все это вордовским прикреплю? А над Гмером сейчас тружусь quarantine.zip на newvirus@kaspersky.com отправила hijackthis.logПолучение информации... virusinfo_syscheck.zipПолучение информации... virusinfo_syscure.zipПолучение информации... вирустотал.docПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 сентября, 2009 Share Опубликовано 27 сентября, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\ufxduhc.jvo',''); QuarantineFile('C:\WINDOWS\fmddrq.vqf',''); DeleteFile('C:\WINDOWS\fmddrq.vqf'); DeleteFile('C:\WINDOWS\ufxduhc.jvo'); DeleteFileMask('C:\WINDOWS\', 'fmddrq.*', true); RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux1'); DeleteFileMask('C:\WINDOWS\', 'ufxduhc.*', true); RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux2'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи + ждем лог gmer Ссылка на комментарий Поделиться на другие сайты More sharing options...
foxi_нья Опубликовано 27 сентября, 2009 Автор Share Опубликовано 27 сентября, 2009 после нового скрипта надо снова карантин на newvirus@kaspersky.com отправлять? Или на первый ждем ответ? gmer.logПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 сентября, 2009 Share Опубликовано 27 сентября, 2009 Карантин отправляйте. Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8lfr977q.exe (gmer) 8lfr977q.exe -del service ttcfd 8lfr977q.exe -del file "C:\WINDOWS\system32\hysvj.dll" 8lfr977q.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ttcfd" 8lfr977q.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ttcfd" 8lfr977q.exe -reboot И запустите cleanup.bat Компьютер перезагрузится Сделать новый лог gmer Ссылка на комментарий Поделиться на другие сайты More sharing options...
foxi_нья Опубликовано 27 сентября, 2009 Автор Share Опубликовано 27 сентября, 2009 Это новые логи, а сейчас займусь гмером Подскажите, нормально, что гмер собирается очень долго, да? hijackthis.logПолучение информации... virusinfo_syscheck.zipПолучение информации... virusinfo_syscure.zipПолучение информации... gmer.logПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
миднайт Опубликовано 27 сентября, 2009 Share Опубликовано 27 сентября, 2009 foxi_нья сказал: Подскажите, нормально, что гмер собирается очень долго, да? ничего страшного. выполните последний скрипт из сообщения #12 от thyrex. только после этого повторите логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 28 сентября, 2009 Share Опубликовано 28 сентября, 2009 (изменено) Пофиксить в Hijack F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\s Выполните указанный выше скрипт для gmer и сделайте только новые лог gmer и HiJack Логи AVZ больше не нужно переделывать. Изменено 28 сентября, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти