Подозрение на вирусы

[BAHEK1987]

Подозрение на вирусы

 

Несколько раз выключался ПК

Не открываются диски (только через Тотал)

 

 

 

virusinfo_syscheck.zip

 

virusinfo_syscure.zip

hijackthis.log

 

 

Сообщение от модератора akoK

Удалил карантин

Изменено 11 августа, 2010 пользователем akoK

[Roman_Five]

удалите из поста карантин - virusinfo_cure.zip

 

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\rserver30\newtstop.dll','');
QuarantineFile('C:\WINDOWS\system32\Bitkv0.dll','');
QuarantineFile('C:\WINDOWS\system32\vamsoft.exe','');
QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
QuarantineFile('C:\WINDOWS\system32\kamsoft.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\YFMpUH.exe','');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\YFMpUH.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

 

Отправьте на проверку файл Quarantine.zip из папки AVZ через форму.

В теме на последней станице создайте пост с именем закачанного файла.

Полученный ответ (появится под Вашим постом в течении 15 минут) сообщите в этой теме.

 

Пофиксите в HJT (некоторых строк после выполнения первого скрипта AVZ может уже не быть). Подробнее...):

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

 

Обновите базы AVZ!

Сделайте новые логи.

Изменено 11 августа, 2010 пользователем Roman_Five

[snifer67]

+

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\kamsoft.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kamsoft');
DeleteFile('C:\WINDOWS\system32\vamsoft.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vamsoft');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

[BAHEK1987]

Логи выполнил ! но самое интересное ! что Ошибка Explorer.exe не убралась(

 

а самое при самое интересное!

Не дает заходить на форум касперского и на сайт! - на другие сайты все заходит (на Др Веб не пробовал)

 

Не дает запускать АВЗ и HiJackThis - (только когда убиваю процесс Exlorer.exe - через диспетчер запускаю

 

Сделал логи посмотрите пожалуйста ! в процессах несколько файлов остаются подазительными!

 

Другие программы кроме АВЗ и HiJackThis запускаются (вродебы )

 

в мой Компьютер тоже не дает зайти! а через проводник - пожалуйста!

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

 

hijackthis.log

 

Сообщение от модератора C. Tantin

Карантин публиковать не нужно

Изменено 9 сентября, 2010 пользователем C. Tantin

[MotherBoard]

Внимание ! База поcледний раз обновлялась 08.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Протокол антивирусной утилиты AVZ версии 4.34

 

Уже 4.35 вышла и не забываем про обновление баз...

 

virusinfo_cure.zip и Qurantine.zip не выкладываем на форуме

 

А для карантина есть спецформа отправки: http://support.kaspersky.ru/virlab/helpdesk.html или если специалисты попросят - на емейл.

 

профиксите в Хиджак

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\2aa10e30.exe,C:\WINDOWS\system32\suwbes.exe,

 

выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mtflop.sys','');
QuarantineFile('C:\WINDOWS\system32\atrac.dll','');
QuarantineFile('c:\windows\system32\2aa10e30.exe','');
QuarantineFile('c:\windows\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\suwbes.exe','');
QuarantineFile('c:\windows\temp\tiao.tmp\svchost.exe','');
DeleteFile('c:\windows\system32\2aa10e30.exe');
DeleteFile('c:\windows\system32\sdra64.exe');
DeleteFile('c:\windows\temp\tiao.tmp\svchost.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

 

Комп перезагрузится

выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Сформируется папка карантина Quarantine.zip отправьте согласно формы

 

Результаты сообщите в теме.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Что с проблемами?

Повторите логи, если сможете новой версией программы 4.35 с обновлёнными базами

Изменено 7 сентября, 2010 пользователем MotherBoard

[BAHEK1987]

Спасибо! завтра в офис заеду! все сделаю как вы написали! логи сделаю !

[snifer67]

+

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\suwbes.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

[BAHEK1987]

Лечение помогло! спасибо! ВОт последние логи

 

 

 

 

 

(ГАЛЯ)

mbam_log_2010_09_08__17_18_23_.txt

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 9 сентября, 2010 пользователем BAHEK1987

[snifer67]

C:\WINDOWS\system32\sysinstall.exe присутствует ?

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F:\Faisal\Haram\Faisal.exe');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

[BAHEK1987]

C:\WINDOWS\system32\sysinstall.exe присутствует ?

 

в смысле? этот файл должен быть ?

[snifer67]

в смысле?

Поищите его.

[MotherBoard]

+

 

выполните скрипт в AVZ:

 

begin
RegKeyBinParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer','NoDriveTypeAutoRun','221'); 
end.

[BAHEK1987]

Новая проблема! пакеты идут сетевые - но в сеть зайтти нельзя и страницы не грузит

 

делал разблокировку всех параметром через АВЗ - страница загрузилась но вновь блокируется

 

опять в процессах странные файлы

 

autorun.inf - Worm.Win32.AutoRun.gxf

Faisal.exe - Net-Worm.Win32.Kolab.drg

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 13 сентября, 2010 пользователем BAHEK1987

[snifer67]

Установите SP3(может потребоваться активация)+все последующие обновления

[Roman_Five]

+

BAHEK1987

и не игнорируйте вопросы тех, кто вам помогает.

 

Уже 4.35 вышла и не забываем про обновление баз...

...

Результаты {проверки карантина} сообщите в теме.

...

Повторите логи, если сможете новой версией программы 4.35 с обновлёнными базами

 

C:\WINDOWS\system32\sysinstall.exe присутствует ?