sandkey Опубликовано 7 июня, 2010 Share Опубликовано 7 июня, 2010 ХП СП3 звереподобная сборка. В безопаске грузится, в полной синий экран. В безопаске прошелся remover setup_9.0.0.722_04.06.2010_13-34. Он его вычислил и написал что не может удалить. С лайвСД прибил руками, после перезагрузки он опять активен. Посмотрите логи hijackthis.log virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
миднайт Опубликовано 7 июня, 2010 Share Опубликовано 7 июня, 2010 В AVZ выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\ali.exe',''); QuarantineFile('C:\WINDOWS\system32\dlllhost.exe',''); QuarantineFile('C:\Program Files\Coopen\Coopen.scr',''); QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ADVANCED SYSTEMCARE.tmqrwusv',''); DeleteFile('C:\WINDOWS\system32\dlllhost.exe'); DeleteFile('C:\WINDOWS\ali.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',3,3,true); RebootWindows(true); end. После перезагрузки begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Логи повторите в обычном режиме. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 7 июня, 2010 Share Опубликовано 7 июня, 2010 Дополнительно к совету миднайт У Вас bootkit Нужно загрузиться с консоли восстановления и выполнить команду fixmbr 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
sandkey Опубликовано 8 июня, 2010 Автор Share Опубликовано 8 июня, 2010 Выполнил скрипт, перезагрузился и сразу в консоль fixmbr. Результат тот же. Сидит на месте virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 8 июня, 2010 Share Опубликовано 8 июня, 2010 Пофиксите в HiJack O4 - HKLM\..\Run: [qQ] C:\WINDOWS\ali.exe Сделайте логи в нормальном режиме Ссылка на комментарий Поделиться на другие сайты More sharing options...
sandkey Опубликовано 8 июня, 2010 Автор Share Опубликовано 8 июня, 2010 (изменено) Пофиксите в HiJack O4 - HKLM\..\Run: [qQ] C:\WINDOWS\ali.exe Сделайте логи в нормальном режиме Пофиксил. Удалил его руками. Перезагруз и он на месте. В нормальном режиме сделать не могу так как получаю bsod 0x000000fc КИС определяет как 08.06.2010 11:09:53 Обнаружено: HEUR:Backdoor.Win32.Generic K:\ali\ali.exe Изменено 8 июня, 2010 пользователем sandkey Ссылка на комментарий Поделиться на другие сайты More sharing options...
ТроПа Опубликовано 8 июня, 2010 Share Опубликовано 8 июня, 2010 Диск К - что это? Ссылка на комментарий Поделиться на другие сайты More sharing options...
sandkey Опубликовано 8 июня, 2010 Автор Share Опубликовано 8 июня, 2010 (изменено) Диск К - что это? Это моя флешка. Ситуация следующая cureit его не находит, Removal Tool его находит но пишет что не может удалить. Virustotal дает 3/41. С лайвсд прибиваю руками а он как феникс после запуска на месте сидит((( Это http://www.scanforfree.com/03/ali.exe_removal.html тоже не помогает стопзилла прибивается сразу Изменено 8 июня, 2010 пользователем sandkey Ссылка на комментарий Поделиться на другие сайты More sharing options...
ТроПа Опубликовано 8 июня, 2010 Share Опубликовано 8 июня, 2010 На флешке есть что-то важное? Ели нет, то форматните её. Ссылка на комментарий Поделиться на другие сайты More sharing options...
sandkey Опубликовано 8 июня, 2010 Автор Share Опубликовано 8 июня, 2010 (изменено) На флешке есть что-то важное? Ели нет, то форматните её. Да флешка абсолютно не причем я его туда просто скопировал чтобы на вирустотал отправить http://www.virustotal.com/ru/analisis/cee2...b048-1275982507 Бред полный касперский онлайн пишет что чист а свежий Removal пишет что вирь Изменено 8 июня, 2010 пользователем sandkey Ссылка на комментарий Поделиться на другие сайты More sharing options...
Black Angel Опубликовано 8 июня, 2010 Share Опубликовано 8 июня, 2010 касперский онлайн пишет что чист Проверяли на VT или здесь ? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Fasawe Опубликовано 8 июня, 2010 Share Опубликовано 8 июня, 2010 Отправил свой вариант скрипта обоим хелперам в ЛС(может поможет)... Ссылка на комментарий Поделиться на другие сайты More sharing options...
sandkey Опубликовано 8 июня, 2010 Автор Share Опубликовано 8 июня, 2010 Проверяли на VT или здесь ? Да Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 8 июня, 2010 Share Опубликовано 8 июня, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ADVANCED SYSTEMCARE.tmqrwusv',''); QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\AIMP2.tmqrwusv',''); QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\INTERNET EXPLORER.tmqrwusv',''); QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\WINDOWS MEDIA PLAYER.tmqrwusv',''); QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\БИЛАЙН ИНТЕРНЕТ ДОМА.tmqrwusv',''); QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ЖФ¶Ї INTERNET EXPLORER ДЇААЖЧ.tmqrwusv',''); QuarantineFile('C:\Documents and Settings\user.MYCOMP\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСТИТЬ ОБОЗРЕВАТЕЛЬ INTERNET EXPLORER.tmqrwusv',''); QuarantineFile('C:\WINDOWS\ali.exe',''); QuarantineFile('C:\WINDOWS\system32\s2am.ime',''); DeleteFile('C:\WINDOWS\system32\s2am.ime'); DeleteFile('C:\WINDOWS\ali.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qQ'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Ссылка на комментарий Поделиться на другие сайты More sharing options...
sandkey Опубликовано 8 июня, 2010 Автор Share Опубликовано 8 июня, 2010 (изменено) snifer67 к сожалению когда я увидел ваше сообщение уже шла проверка свеже скачанным Kaspersky Rescue Disk 10. Он еще находит вирусы(((. После перезагрузки комп зашел! в нормальный режим, ali в папке винды небыло(специально смотрел),,,,, до следующей перезагрузки. После этого выполнил все что выше. На почту отослал. Воз и ныне там. Посмотрите логи virusinfo_syscheck.zip hijackthis.log ComboFix.txt Система уже предназначана под снос так то можно пробовать все Оказывается не у меня одного такое же http://virusinfo.info/showthread.php?t=78851 Изменено 8 июня, 2010 пользователем sandkey Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти