Modenaz 0 Опубликовано 26 августа, 2010 Share Опубликовано 26 августа, 2010 (изменено) Приветствую! Недавно система подверглась заражению, антивирусом пролечил, но возможно вирусы на ноутбуке остались. Плюс ко всему до этого( около трех недель назад) перестали работать USB-порты, так до сих пор и не работают, обновление драйверов в диспетчере устройств не помогает. Может система повреждена? Вот, посмотрите, пожалуйста, логи на всякий случай. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 26 августа, 2010 пользователем Modenaz Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 26 августа, 2010 Share Опубликовано 26 августа, 2010 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('sysdrv32', 4); SetServiceStart('yjqohh', 4); SetServiceStart('wbgwj', 4); SetServiceStart('spzmsu', 4); SetServiceStart('rtwvrm', 4); SetServiceStart('gadfeg', 4); SetServiceStart('azypjtmc', 4); QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\XF0FmEA.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\FchULCF.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\d348bus.SYS',''); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); QuarantineFile('C:\WINDOWS\system32\drivers\av5flt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\numnpn.sys',''); QuarantineFile('c:\DOCUME~1\heirees\LOCALS~1\Temp\Rar$EX01.797\vfd.sys',''); DeleteFile('C:\WINDOWS\system32\01.tmp'); DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys'); DeleteFile('\\?\globalroot\systemroot\system32\FchULCF.exe'); DeleteFile('\\?\globalroot\systemroot\system32\XF0FmEA.exe'); DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C635622}'); DeleteService('sysdrv32'); DeleteService('yjqohh'); DeleteService('wbgwj'); DeleteService('spzmsu'); DeleteService('rtwvrm'); DeleteService('gadfeg'); DeleteService('azypjtmc'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(1); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ Сообщение от модератора thyrex на newvirus@kaspersky.com Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32XF0 FmEA.exe,\?globalrootsystemrootsystem32FchULCF.exe, R3 - URLSearchHook: (no name) - - (no file) Сообщение от модератора thyrex Сделайте новые логи Сделайте лог GMER. Изменено 26 августа, 2010 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
Modenaz 0 Опубликовано 26 августа, 2010 Автор Share Опубликовано 26 августа, 2010 begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. - почему-то этот скрипт дает такой файл, на который сервер ругается: "Файл не является архивом с карантином AVZ !" Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 августа, 2010 Share Опубликовано 26 августа, 2010 А Вы на какой адрес отправляли? Размер архива какой? Цитата Ссылка на сообщение Поделиться на другие сайты
Modenaz 0 Опубликовано 27 августа, 2010 Автор Share Опубликовано 27 августа, 2010 Пытался отправить на virusinfo.info, не получилось А потом просто отправил на newvirus@kaspersky.com. Пока только ответ автоматической системы пришел. Папка Qurantine весит 5, 21 кб Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 27 августа, 2010 Share Опубликовано 27 августа, 2010 Сделайте лог GMER Цитата Ссылка на сообщение Поделиться на другие сайты
Modenaz 0 Опубликовано 28 августа, 2010 Автор Share Опубликовано 28 августа, 2010 (изменено) Вот сделал новые логи. Лог gmer сделать не получается, во время работы этой утилиты зависает система. Кстати, пока делал логи, отключил, как и рекомендуется, антивир и брандмауэр( интернет остался подключенным). Как результат - новое заражение. Сейчас сделал полную проверку антивирусом, кое-какие вирусы удалились. Но думаю зараза еще осталась hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 28 августа, 2010 пользователем Modenaz Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 августа, 2010 Share Опубликовано 28 августа, 2010 В 911 Ваша тема? Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Modenaz 0 Опубликовано 28 августа, 2010 Автор Share Опубликовано 28 августа, 2010 (изменено) В 911 тема называется "вирусы". Могу я перед запуском combo, отключить интернет, чтобы не было нового заражения и можно ли делать логи в avz c отключенным интернетом ? Изменено 28 августа, 2010 пользователем Modenaz Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 28 августа, 2010 Share Опубликовано 28 августа, 2010 отключите. чтобы не было заражения, надо поддерживать в актуальном состоянии Windows (у Вас - со вторым СП) Цитата Ссылка на сообщение Поделиться на другие сайты
Modenaz 0 Опубликовано 28 августа, 2010 Автор Share Опубликовано 28 августа, 2010 Вот сделал лог combofix log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Modenaz 0 Опубликовано 29 августа, 2010 Автор Share Опубликовано 29 августа, 2010 Что теперь делать? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 августа, 2010 Share Опубликовано 29 августа, 2010 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: Driver:: mzxmcmia nqbjjvub jjefdbg nrcbezakz wljpyt riwvouoa gmbdlkli wcvuzou tjvqkq hzmbekho gsatbpq eisfs hamzeuyv odvvidyjk cepoozjrt mwtklkajh nwqofnupo kiuimwi aoimrkwyt kzuhc caurm bbxggyqvl wwvfe xvlywcarc wzlzenx xqwlxpalq lzyzem lhjqyhij trltgq bbofoympn ubvvj xqajft pyypr kovlqzn bqaybwr swomt ijvtb pxndox btlwf rptmx etgznigsb evpnbgsau fjsmyorna sypmqtz qgvirefez ouipsb czawhjvm pvscr nbcjj vryrcv bcbtrl rvachqd bccnyc hkqoftfj owjbbd cuhagv jwaqoyjjz NetSvc:: mzxmcmia nqbjjvub jjefdbg nrcbezakz wljpyt riwvouoa gmbdlkli wcvuzou tjvqkq hzmbekho gsatbpq eisfs hamzeuyv odvvidyjk cepoozjrt mwtklkajh nwqofnupo kiuimwi aoimrkwyt kzuhc caurm bbxggyqvl wwvfe xvlywcarc wzlzenx xqwlxpalq lzyzem lhjqyhij trltgq bbofoympn ubvvj xqajft pyypr kovlqzn bqaybwr swomt ijvtb pxndox btlwf rptmx etgznigsb evpnbgsau fjsmyorna sypmqtz qgvirefez ouipsb czawhjvm pvscr nbcjj vryrcv bcbtrl rvachqd bccnyc hkqoftfj owjbbd cuhagv jwaqoyjjz Folder:: C:\FOUND.005 C:\FOUND.004 C:\FOUND.003 C:\FOUND.002 Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3305:TCP"=- FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Modenaz 0 Опубликовано 30 августа, 2010 Автор Share Опубликовано 30 августа, 2010 Выполнено log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 августа, 2010 Share Опубликовано 30 августа, 2010 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: c:\windows\system32\4AF08F1659.sys Driver:: Folder:: C:\FOUND.007 C:\FOUND.006 Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.