Не могу закрыть окно

[Vmalkin]

появилось окно с надписью отправте смс на номер и т.п.И его никак не закрыть.Касперским проверил-ничего.Вирус или нет незнаю(с компами на вы).Удалил из автозагрузки в рееестре вроде пропало окно.Боюсь может еще где прописан?Что делать?

[INC®]

Выполните правила: http://forum.kasperskyclub.ru/index.php?showtopic=1698

[Vmalkin]

Выполните правила: http://forum.kasperskyclub.ru/index.php?showtopic=1698

Виноват!Вот и логи:

 

Сообщение от модератора ТроПа

Удалил virusinfo_cure.zip - это карантин, его не нужно прикреплять к сообщению.

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscheck.htm

virusinfo_syscheck.xml

[ТроПа]

В АВЗ -- сервис, поиск файлов на диске, поищите по макске userinit.sys, все найденные файлы проверьте на virustotal.com

E:\741F~1\-4E52~1.SCR - это вы устанавливали?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Сделайте новые логи АВЗ и выложите их.

Хватит только архивов virusinfo_syscure.zip и virusinfo_syscheck.zip

[Vmalkin]

Я такого"E:\741F~1\-4E52~1.SCR - это вы устанавливали?"не устанавливал.И папки такой нет на е диске.,или может как то скрыта.Как проверить на virustotal.com?И как поискать на"поищите по макске userinit.sys"?Я просто с компами тяжеловато.

 

Вот и логи:

 

Сообщение от модератора ТроПа

Я же не просил virusinfo_cure.zip - это карантин, его не нужно прикреплять к сообщению. Удалил virusinfo_cure.zip

Удалил излишнее цитирование, мешает читать.

virusinfo_syscure.zip

virusinfo_syscheck.zip

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\741F~1\-4E52~1.SCR','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

ComboFix. Руководство по применению.

прикрепите к сообщению логи ComboFix и Gmer.

[Vmalkin]

Прислали ответ с newvirus@kaspersky.com:

Здравствуйте,

 

В присланном Вами файле не найдено ничего вредоносного.

 

--

 

Вирусный аналитик Лаборатории Касперского.

e-mail: newvirus@kaspersky.com

http://www.kaspersky.com/

 

http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами.

http://www.kaspersky.com/helpdesk.html - техническая поддержка

 

 

>From: vmalkin@bk.ru

>Sent: 05.01.2010 20:34:00

>To: "New Virus" <newvirus@kaspersky.com>

>Subject:

>

>

>

> В теле письма укажите пароль на архив virus.

>

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

http://www.kaspersky.ru http://www.viruslist.ru

 

 

Проверил Gmer но только версией GMER_1.0.14 т. к. по ссылке которую ты дал выдает ошибку.

Проверил ComboFix по инструкции.Только появились новые папки на с-диске(RECYCLER,cmdcons,Downloads_p2p) и на е-диске(Qoobox)

Gmer.log

ComboFix.txt

Изменено 6 января, 2010 пользователем Vmalkin

[snifer67]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

KillAll:: 

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2797:TCP"-
FileLook::

DirLook::

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

 

Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)

gmer.exe -del service xihjtcp
gmer.exe -del file "E:\WINDOWS\system32\zqatf.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xihjtcp"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xihjtcp"
gmer.exe -reboot

Сделайте новый лог gmer.

Изменено 6 января, 2010 пользователем snifer67

[Vmalkin]

Все сделал как написали.Скажите что у меня в компе?Чтоб знать хотя бы.

Gmer.log

ComboFix.txt

[Мизантроп]

Vmalkin из поста номер 7 удалите имя вирусного аналитика, если мне не изменяет память это запрещено.

[Vmalkin]

Так вроде.

[EAlekseev]

Vmalkin из поста номер 7 удалите имя вирусного аналитика, если мне не изменяет память это запрещено.

А из-за чего такие строгости? Страна должна знать своих героев, как положительных так и отрицательных.

[ТроПа]

Похоже на разновидность кидо.

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

KillAll:: 

File::
e:\windows\system32\zqatf.dll
Driver::
xihjtcp
Folder::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xihjtcp]
FileLook::

DirLook::

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Когда сохранится новый отчет ComboFix файл C:\ComboFix.txt прикрепите к сообщению.

[Vmalkin]

Все сделал как сказал.

ComboFix.txt

[ТроПа]

В логе подозрительного не наблюдаю, проблемы ещё какие-то есть?