Roman_Five Опубликовано 9 декабря, 2010 Поделиться Опубликовано 9 декабря, 2010 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
Xenon Опубликовано 9 декабря, 2010 Автор Поделиться Опубликовано 9 декабря, 2010 Roman_Five, есть что-то плохое? Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 9 декабря, 2010 Поделиться Опубликовано 9 декабря, 2010 после 2 попыток удаления по логам видно наличие в системе rescue32.exe и ссылки в реестре на загрузку dfhclfhd.dll сделайте логи СF и MBAM Ссылка на комментарий Поделиться на другие сайты Поделиться
Xenon Опубликовано 9 декабря, 2010 Автор Поделиться Опубликовано 9 декабря, 2010 Roman_Five, долго будет идтти сканирование? А-то время все-таки... Или лучше завтра-послезавтра сделать? Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 9 декабря, 2010 Поделиться Опубликовано 9 декабря, 2010 cf - долго. Ссылка на комментарий Поделиться на другие сайты Поделиться
Xenon Опубликовано 9 декабря, 2010 Автор Поделиться Опубликовано 9 декабря, 2010 cf - долго. Тогда лучше пока отложу: завтра всем на работу. Спасибо что не бросаешь! Продолжение следует... Ссылка на комментарий Поделиться на другие сайты Поделиться
Xenon Опубликовано 10 декабря, 2010 Автор Поделиться Опубликовано 10 декабря, 2010 Итак проверил. CF проверял не долго по сравнению с Anti-Malware. После CF включилось Восстановление системы. И часы сбились. Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 10 декабря, 2010 Поделиться Опубликовано 10 декабря, 2010 (изменено) удалите в MBAM Заражённые файлы: c:\system volume information\_restore{d90a37af-d2b8-41a7-9d59-8cbf717fd23b}\RP1\A0000025.exe (Trojan.Banker) -> No action taken. c:\WINDOWS\pss\chkntfs.exestartup (Trojan.Agent) -> No action taken. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: c:\windows\system32\rescue32.exe c:\windows\000001_.tmp Driver:: NetSvc:: Folder:: Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Проверьте на virustotal.com эти файлы: c:\windows\system32\drivers\adv01nt5.dll c:\windows\QTFont.for Восстановите с дистрибутива файл c:\windows\system32\drivers\tcpip.sys Инструкция - http://virusinfo.info/showthread.php?t=51654 Сделайте новые логи AVZ Изменено 10 декабря, 2010 пользователем Roman_Five Ссылка на комментарий Поделиться на другие сайты Поделиться
Xenon Опубликовано 10 декабря, 2010 Автор Поделиться Опубликовано 10 декабря, 2010 Раскрывающийся текст: удалите в MBAM Заражённые файлы: c:\system volume information\_restore{d90a37af-d2b8-41a7-9d59-8cbf717fd23b}\RP1\A0000025.exe (Trojan.Banker) -> No action taken. c:\WINDOWS\pss\chkntfs.exestartup (Trojan.Agent) -> No action taken. Удалил Раскрывающийся текст: Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: c:\windows\system32\rescue32.exe c:\windows\000001_.tmp Driver:: NetSvc:: Folder:: Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. ... ...Сделайте новые логи AVZ Сделал Проверьте на virustotal.com эти файлы:Раскрывающийся текст: c:\windows\system32\drivers\adv01nt5.dll c:\windows\QTFont.for Первое вроде не хочет проверяться, второе вроде нормально. http://www.virustotal.com/file-scan/report...5b96-1292002483 http://www.virustotal.com/file-scan/reanal...52b7-1292004310 Раскрывающийся текст: Восстановите с дистрибутива файл c:\windows\system32\drivers\tcpip.sys Инструкция - http://virusinfo.info/showthread.php?t=51654 Так я и не удалял при сканировании Malwarebytes' Anti-Malware Зачем удалять всё подряд, тем паче он может ругаться по ошибке! Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 10 декабря, 2010 Поделиться Опубликовано 10 декабря, 2010 а я и не говорил, что это Вы удалили. файл "не родной" для текущей версии виндовс. лучше восстановить по инструкции. + Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. и Сделайте новые логи AVZ Первое вроде не хочет проверяться хочет. тоже 0 из 43 http://www.virustotal.com/file-scan/report...52b7-1292004310 Ссылка на комментарий Поделиться на другие сайты Поделиться
Xenon Опубликовано 10 декабря, 2010 Автор Поделиться Опубликовано 10 декабря, 2010 (изменено) а я и не говорил, что это Вы удалили.файл "не родной" для текущей версии виндовс. лучше восстановить по инструкции. + и хочет. тоже 0 из 43 Упс, забыл прикрепить логи Теперь только послезавтра получится. И стоит ли все-таки восстанавливать файл c:\windows\system32\drivers\tcpip.sys? Активация по-новой не понадобится? Кстати отключил восстановление системы, снес ЕСЕТ и поставил пробную КИС2011 на месяц: может потянет и понравится Изменено 10 декабря, 2010 пользователем Xenon Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 10 декабря, 2010 Поделиться Опубликовано 10 декабря, 2010 может потянет и понравится может И стоит ли все-таки восстанавливать файл решать Вам. Ссылка на комментарий Поделиться на другие сайты Поделиться
Xenon Опубликовано 10 декабря, 2010 Автор Поделиться Опубликовано 10 декабря, 2010 решать Вам. Критично ли? Сборка Зверь оказывается стоит правда уже обновил с офсайта. Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 10 декабря, 2010 Поделиться Опубликовано 10 декабря, 2010 Перед созданием новых логов Заархивируйте папку C:\Qoobox\Quarantine с паролем virus Отправьте архив через данную форму. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Деинсталлируйте ComboFix: - нажмите Пуск|Start - Выполнить|Run - в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Критично ли? если проблем нет с доступом в инет - то нет Ссылка на комментарий Поделиться на другие сайты Поделиться
Xenon Опубликовано 12 декабря, 2010 Автор Поделиться Опубликовано 12 декабря, 2010 Раскрывающийся текст: Перед созданием новых логов Заархивируйте папку C:\Qoobox\Quarantine с паролем virus Отправьте архив через данную форму. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделал Раскрывающийся текст: Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику._000006_.tmp.dll.vir,000001_.tmp.vir,cleanmgr.exe.vir,ssField Lines.scr.vir,ssRibbons.scr.vir,Пузыри.scr.virSYSINTERNALS_BLUESCREEN.SCR.virВре доносный код в файлах не обнаружен.791.tmp.vir,797.tmp.vir,catchme.txtФайлы нулевой длины.catchme.log,chkntfs.dat.vir,del.bat.vir,MSConfigStartUp-plugin.reg.dat,MSConfigStartUp-swg.reg.dat,MSConfigStartUp-System Rescue.reg.dat,tcpip.regФайлы в процессе обработки.С уважением, Лаборатория Касперского Раскрывающийся текст: Деинсталлируйте ComboFix: - нажмите Пуск|Start - Выполнить|Run - в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Сделал Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти