Unforgivable Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 Комбофикс ComboFix.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 (изменено) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение KillAll:: File:: c:\windows\22.tmp c:\program files\Common Files\100038.exe c:\program files\Common Files\17.exe c:\windows\system32\SVCH0ST.dll c:\windows\system32\seselogsrv.dll c:\windows\1A.tmp c:\windows\15.tmp c:\windows\system32\hrqa.exe c:\windows\system32\dxas.exe c:\windows\50.tmp c:\windows\vsvxx.exe c:\windows\system32\WmdmPmSpid.dll c:\windows\system32\SVDH0ST.exe Driver:: Folder:: Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению+сделайте логи avz. Изменено 19 января, 2010 пользователем snifer67 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Unforgivable Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 Новый ComboFix.txt ComboFix.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 (изменено) c:\documents and settings\All Users\Application Data\Microsoft\Outlook Express\2339.exe- проверьте на http://www.virustotal.com/ru/ Где логи avz ? Попробуйте взять дистрибутив Windows XP вставить в дисководод и набрать в выполнить sfc /scannow. Изменено 19 января, 2010 пользователем snifer67 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Unforgivable Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 http://www.virustotal.com/ru/analisis/1c3f...dc0f-1263715115 Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 выполнить sfc /scannow, Сделайте логи avz + лог комбофикса. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Unforgivable Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 (изменено) sfc /scannow не хочет работать с диском, с которого я устанавливался. Рабочий_стол.rar ComboFix.txt Изменено 19 января, 2010 пользователем Unforgivable Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 Восстановление системы отключить. Выполните скрипт в avz begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\documents and settings\All Users\Application Data\Microsoft\Outlook Express\2339.exe',''); DeleteFile('c:\documents and settings\All Users\Application Data\Microsoft\Outlook Express\2339.exe'); QuarantineFile('C:\Program Files\Internet Explorer\Debug.Dll',''); QuarantineFile('C:\WINDOWS\system32\dyoo.dll',''); QuarantineFile('C:\WINDOWS\system32\s.exe',''); StopService('vs'); StopService('faer'); StopService('veast'); StopService('DescriptionHero2'); DeleteService('vs'); DeleteService('veast'); DeleteService('faer'); DeleteService('DescriptionHero2'); QuarantineFile('C:\WINDOWS\TEMP\Oraber.sys',''); QuarantineFile('c:\windows\system32\ptqu.exe',''); TerminateProcessByName('c:\windows\system32\ptqu.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\p001.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\p001.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\m001.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\m001.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\j002.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\j002.exe'); QuarantineFile('c:\windows\system32\ij4cba05l4\d001.exe',''); TerminateProcessByName('c:\windows\system32\ij4cba05l4\d001.exe'); QuarantineFile('c:\docume~1\locals~1\locals~1\temp\3150.exe',''); TerminateProcessByName('c:\docume~1\locals~1\locals~1\temp\3150.exe'); QuarantineFile('c:\docume~1\locals~1\locals~1\temp\1821.exe',''); TerminateProcessByName('c:\docume~1\locals~1\locals~1\temp\1821.exe'); DeleteFile('c:\docume~1\locals~1\locals~1\temp\1821.exe'); DeleteFile('c:\docume~1\locals~1\locals~1\temp\3150.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\d001.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\j002.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\m001.exe'); DeleteFile('c:\windows\system32\ij4cba05l4\p001.exe'); DeleteFile('c:\windows\system32\ptqu.exe'); DeleteFile('C:\WINDOWS\TEMP\Oraber.sys'); DeleteFile('C:\WINDOWS\system32\s.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile'); DeleteFile('C:\WINDOWS\system32\dyoo.dll'); DeleteFile('C:\Program Files\Internet Explorer\Debug.Dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь. ОБНОВИТЕ БАЗЫ AVZ, Сделайте новые логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
akoK Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 Продублируйте карантин на akok<at>pisem.net с указанной ссылкой на тему. (at=@) В карантине: C:\Program Files\Internet Explorer\Debug.Dll - Trojan-PSW.Win32.QQPass.qjm (после лечения смените пароли) C:\WINDOWS\system32\dyoo.dll - Backdoor.Win32.Small.tf 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Unforgivable Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 Новые логи. Рабочий_стол.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 Выполните скрипт в avz begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); BC_QrFile('C:\WINDOWS\system32\51r3.exe'); BC_QrFile('C:\WINDOWS\system32\s.exe'); QuarantineFile('C:\WINDOWS\system32\s.exe',''); QuarantineFile('C:\WINDOWS\system32\51r3.exe',''); DeleteService('vs'); DeleteService('veast'); DeleteService('faer'); DeleteService('DescriptionHero2'); DeleteService('CF1.5'); DeleteFile('C:\WINDOWS\system\TQ74.tmp'); DeleteFile('C:\WINDOWS\system32\ptqu.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\J002.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\D001.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\M001.exe'); DeleteFile('C:\WINDOWS\system32\IJ4CBA05L4\P001.exe'); DeleteFile('C:\WINDOWS\system32\51r3.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\BrowserHeler','EventMessageFile'); DeleteFile('C:\WINDOWS\system32\s.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\temp\3199.exe'); DeleteFile('C:\WINDOWS\system32\K2ZLQNWVEG\D001.exe'); DeleteFile('C:\WINDOWS\system32\NL81U9FHMX\D001.exe'); DeleteFile('C:\WINDOWS\system32\NL81U9FHMX\M001.exe'); DeleteFile('C:\WINDOWS\system32\P3R4WEDV80\D001.exe'); DeleteFile('C:\WINDOWS\system32\P3R4WEDV80\M001.exe'); DeleteFile('C:\WINDOWS\system32\T0IPMQ7HOZ\D001.exe'); DeleteFile('C:\WINDOWS\system32\T0IPMQ7HOZ\M001.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделайте новые логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Unforgivable Опубликовано 19 января, 2010 Автор Share Опубликовано 19 января, 2010 Новые логи. Рабочий_стол.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 19 января, 2010 Share Опубликовано 19 января, 2010 Просканируйте ПК http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ ,сделайте логи avz. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Unforgivable Опубликовано 20 января, 2010 Автор Share Опубликовано 20 января, 2010 Проверил КИСом. Новые логи. Рабочий_стол.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 20 января, 2010 Share Опубликовано 20 января, 2010 Чисто.Что с проблемой ? Установите SP3(может потребоваться активация)+все последующие обновления Установите IE8 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Cleanup. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти