snifer67 Опубликовано 19 января, 2010 Опубликовано 19 января, 2010 (изменено) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение KillAll:: File:: c:\windows\22.tmp c:\program files\Common Files\100038.exe c:\program files\Common Files\17.exe c:\windows\system32\SVCH0ST.dll c:\windows\system32\seselogsrv.dll c:\windows\1A.tmp c:\windows\15.tmp c:\windows\system32\hrqa.exe c:\windows\system32\dxas.exe c:\windows\50.tmp c:\windows\vsvxx.exe c:\windows\system32\WmdmPmSpid.dll c:\windows\system32\SVDH0ST.exe Driver:: Folder:: Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению+сделайте логи avz. Изменено 19 января, 2010 пользователем snifer67
Unforgivable Опубликовано 19 января, 2010 Автор Опубликовано 19 января, 2010 Новый ComboFix.txt ComboFix.txt
snifer67 Опубликовано 19 января, 2010 Опубликовано 19 января, 2010 (изменено) c:\documents and settings\All Users\Application Data\Microsoft\Outlook Express\2339.exe- проверьте на http://www.virustotal.com/ru/ Где логи avz ? Попробуйте взять дистрибутив Windows XP вставить в дисководод и набрать в выполнить sfc /scannow. Изменено 19 января, 2010 пользователем snifer67
Unforgivable Опубликовано 19 января, 2010 Автор Опубликовано 19 января, 2010 http://www.virustotal.com/ru/analisis/1c3f...dc0f-1263715115
snifer67 Опубликовано 19 января, 2010 Опубликовано 19 января, 2010 выполнить sfc /scannow, Сделайте логи avz + лог комбофикса.
Unforgivable Опубликовано 19 января, 2010 Автор Опубликовано 19 января, 2010 (изменено) sfc /scannow не хочет работать с диском, с которого я устанавливался. Рабочий_стол.rar ComboFix.txt Изменено 19 января, 2010 пользователем Unforgivable
snifer67 Опубликовано 19 января, 2010 Опубликовано 19 января, 2010 Восстановление системы отключить. Выполните скрипт в avz begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\documents and settings\All Users\Application Data\Microsoft\Outlook Express\2339.exe',''); DeleteFile('c:\documents and settings\All Users\Application Data\Microsoft\Outlook Express\2339.exe'); QuarantineFile('C:\Program Files\Internet Explorer\Debug.Dll',''); QuarantineFile('C:\WINDOWS\system32\dyoo.dll',''); QuarantineFile('C:\WINDOWS\system32\s.exe',''); StopService('vs'); StopService('faer'); StopService('veast'); StopService('DescriptionHero2'); DeleteService('vs'); DeleteService('veast'); DeleteService('faer'); DeleteService('DescriptionHero2'); QuarantineFile('C:\WINDOWS\TEMP\Oraber.sys',''); QuarantineFile('c:\windows\system32\ptqu.exe',''); TerminateProcessByName('c:\windows\system32\ptqu.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\p001.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\p001.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\m001.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\m001.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\j002.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\j002.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\d001.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\d001.exe'); QuarantineFile('c:\docume~1\locals~1\locals~1\temp\3150.exe',''); TerminateProcessByName('c:\docume~1\locals~1\locals~1\temp\3150.exe'); QuarantineFile('c:\docume~1\locals~1\locals~1\temp\1821.exe',''); TerminateProcessByName('c:\docume~1\locals~1\locals~1\temp\1821.exe'); DeleteFile('c:\docume~1\locals~1\locals~1\temp\1821.exe'); DeleteFile('c:\docume~1\locals~1\locals~1\temp\3150.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\d001.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\j002.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\m001.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\p001.exe'); DeleteFile('c:\windows\system32\ptqu.exe'); DeleteFile('C:\WINDOWS\TEMP\Oraber.sys'); DeleteFile('C:\WINDOWS\system32\s.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile'); DeleteFile('C:\WINDOWS\system32\dyoo.dll'); DeleteFile('C:\Program Files\Internet Explorer\Debug.Dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь. ОБНОВИТЕ БАЗЫ AVZ, Сделайте новые логи.
akoK Опубликовано 19 января, 2010 Опубликовано 19 января, 2010 Продублируйте карантин на akok<at>pisem.net с указанной ссылкой на тему. (at=@) В карантине: C:\Program Files\Internet Explorer\Debug.Dll - Trojan-PSW.Win32.QQPass.qjm (после лечения смените пароли) C:\WINDOWS\system32\dyoo.dll - Backdoor.Win32.Small.tf 1
Unforgivable Опубликовано 19 января, 2010 Автор Опубликовано 19 января, 2010 Новые логи. Рабочий_стол.rar
snifer67 Опубликовано 19 января, 2010 Опубликовано 19 января, 2010 Выполните скрипт в avz begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); BC_QrFile('C:\WINDOWS\system32\51r3.exe'); BC_QrFile('C:\WINDOWS\system32\s.exe'); QuarantineFile('C:\WINDOWS\system32\s.exe',''); QuarantineFile('C:\WINDOWS\system32\51r3.exe',''); DeleteService('vs'); DeleteService('veast'); DeleteService('faer'); DeleteService('DescriptionHero2'); DeleteService('CF1.5'); DeleteFile('C:\WINDOWS\system\TQ74.tmp'); DeleteFile('C:\WINDOWS\system32\ptqu.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\J002.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\D001.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\M001.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\P001.exe'); DeleteFile('C:\WINDOWS\system32\51r3.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\BrowserHeler','EventMessageFile'); DeleteFile('C:\WINDOWS\system32\s.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\temp\3199.exe'); DeleteFile('C:\WINDOWS\system32\K2ZLQNWVEG\D001.exe'); DeleteFile('C:\WINDOWS\system32\NL81U9FHMX\D001.exe'); DeleteFile('C:\WINDOWS\system32\NL81U9FHMX\M001.exe'); DeleteFile('C:\WINDOWS\system32\P3R4WEDV80\D001.exe'); DeleteFile('C:\WINDOWS\system32\P3R4WEDV80\M001.exe'); DeleteFile('C:\WINDOWS\system32\T0IPMQ7HOZ\D001.exe'); DeleteFile('C:\WINDOWS\system32\T0IPMQ7HOZ\M001.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделайте новые логи.
Unforgivable Опубликовано 19 января, 2010 Автор Опубликовано 19 января, 2010 Новые логи. Рабочий_стол.rar
snifer67 Опубликовано 19 января, 2010 Опубликовано 19 января, 2010 Просканируйте ПК http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ ,сделайте логи avz.
Unforgivable Опубликовано 20 января, 2010 Автор Опубликовано 20 января, 2010 Проверил КИСом. Новые логи. Рабочий_стол.rar
snifer67 Опубликовано 20 января, 2010 Опубликовано 20 января, 2010 Чисто.Что с проблемой ? Установите SP3(может потребоваться активация)+все последующие обновления Установите IE8 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Cleanup.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти