Unforgivable 0 Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 Комбофикс ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 (изменено) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение KillAll:: File:: c:\windows\22.tmp c:\program files\Common Files\100038.exe c:\program files\Common Files\17.exe c:\windows\system32\SVCH0ST.dll c:\windows\system32\seselogsrv.dll c:\windows\1A.tmp c:\windows\15.tmp c:\windows\system32\hrqa.exe c:\windows\system32\dxas.exe c:\windows\50.tmp c:\windows\vsvxx.exe c:\windows\system32\WmdmPmSpid.dll c:\windows\system32\SVDH0ST.exe Driver:: Folder:: Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению+сделайте логи avz. Изменено 19 января, 2010 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
Unforgivable 0 Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 Новый ComboFix.txt ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 (изменено) c:\documents and settings\All Users\Application Data\Microsoft\Outlook Express\2339.exe- проверьте на http://www.virustotal.com/ru/ Где логи avz ? Попробуйте взять дистрибутив Windows XP вставить в дисководод и набрать в выполнить sfc /scannow. Изменено 19 января, 2010 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
Unforgivable 0 Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 http://www.virustotal.com/ru/analisis/1c3f...dc0f-1263715115 Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 выполнить sfc /scannow, Сделайте логи avz + лог комбофикса. Цитата Ссылка на сообщение Поделиться на другие сайты
Unforgivable 0 Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 (изменено) sfc /scannow не хочет работать с диском, с которого я устанавливался. Рабочий_стол.rar ComboFix.txt Изменено 19 января, 2010 пользователем Unforgivable Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 Восстановление системы отключить. Выполните скрипт в avz begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\documents and settings\All Users\Application Data\Microsoft\Outlook Express\2339.exe',''); DeleteFile('c:\documents and settings\All Users\Application Data\Microsoft\Outlook Express\2339.exe'); QuarantineFile('C:\Program Files\Internet Explorer\Debug.Dll',''); QuarantineFile('C:\WINDOWS\system32\dyoo.dll',''); QuarantineFile('C:\WINDOWS\system32\s.exe',''); StopService('vs'); StopService('faer'); StopService('veast'); StopService('DescriptionHero2'); DeleteService('vs'); DeleteService('veast'); DeleteService('faer'); DeleteService('DescriptionHero2'); QuarantineFile('C:\WINDOWS\TEMP\Oraber.sys',''); QuarantineFile('c:\windows\system32\ptqu.exe',''); TerminateProcessByName('c:\windows\system32\ptqu.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\p001.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\p001.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\m001.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\m001.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\j002.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\j002.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\d001.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\d001.exe'); QuarantineFile('c:\docume~1\locals~1\locals~1\temp\3150.exe',''); TerminateProcessByName('c:\docume~1\locals~1\locals~1\temp\3150.exe'); QuarantineFile('c:\docume~1\locals~1\locals~1\temp\1821.exe',''); TerminateProcessByName('c:\docume~1\locals~1\locals~1\temp\1821.exe'); DeleteFile('c:\docume~1\locals~1\locals~1\temp\1821.exe'); DeleteFile('c:\docume~1\locals~1\locals~1\temp\3150.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\d001.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\j002.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\m001.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\p001.exe'); DeleteFile('c:\windows\system32\ptqu.exe'); DeleteFile('C:\WINDOWS\TEMP\Oraber.sys'); DeleteFile('C:\WINDOWS\system32\s.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile'); DeleteFile('C:\WINDOWS\system32\dyoo.dll'); DeleteFile('C:\Program Files\Internet Explorer\Debug.Dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь. ОБНОВИТЕ БАЗЫ AVZ, Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 Продублируйте карантин на akok<at>pisem.net с указанной ссылкой на тему. (at=@) В карантине: C:\Program Files\Internet Explorer\Debug.Dll - Trojan-PSW.Win32.QQPass.qjm (после лечения смените пароли) C:\WINDOWS\system32\dyoo.dll - Backdoor.Win32.Small.tf 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Unforgivable 0 Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 Новые логи. Рабочий_стол.rar Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 Выполните скрипт в avz begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); BC_QrFile('C:\WINDOWS\system32\51r3.exe'); BC_QrFile('C:\WINDOWS\system32\s.exe'); QuarantineFile('C:\WINDOWS\system32\s.exe',''); QuarantineFile('C:\WINDOWS\system32\51r3.exe',''); DeleteService('vs'); DeleteService('veast'); DeleteService('faer'); DeleteService('DescriptionHero2'); DeleteService('CF1.5'); DeleteFile('C:\WINDOWS\system\TQ74.tmp'); DeleteFile('C:\WINDOWS\system32\ptqu.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\J002.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\D001.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\M001.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\P001.exe'); DeleteFile('C:\WINDOWS\system32\51r3.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\BrowserHeler','EventMessageFile'); DeleteFile('C:\WINDOWS\system32\s.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\temp\3199.exe'); DeleteFile('C:\WINDOWS\system32\K2ZLQNWVEG\D001.exe'); DeleteFile('C:\WINDOWS\system32\NL81U9FHMX\D001.exe'); DeleteFile('C:\WINDOWS\system32\NL81U9FHMX\M001.exe'); DeleteFile('C:\WINDOWS\system32\P3R4WEDV80\D001.exe'); DeleteFile('C:\WINDOWS\system32\P3R4WEDV80\M001.exe'); DeleteFile('C:\WINDOWS\system32\T0IPMQ7HOZ\D001.exe'); DeleteFile('C:\WINDOWS\system32\T0IPMQ7HOZ\M001.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Unforgivable 0 Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 Новые логи. Рабочий_стол.rar Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 Просканируйте ПК http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ ,сделайте логи avz. Цитата Ссылка на сообщение Поделиться на другие сайты
Unforgivable 0 Опубликовано 20 января, 2010 Автор Share Опубликовано 20 января, 2010 Проверил КИСом. Новые логи. Рабочий_стол.rar Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 20 января, 2010 Share Опубликовано 20 января, 2010 Чисто.Что с проблемой ? Установите SP3(может потребоваться активация)+все последующие обновления Установите IE8 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Cleanup. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.