Система глючит

[ROMIK]

Ребят посмотрите машинку.

Симптомы:

1-перестал работать поиск, не через f3 ни через пуск. Вместо панели поиска пусто.

2-при открытии поиска через пуск или f3 иногда падает explorer

3-виснет Internet Explorer

4-стабильно падает GetSystemInfo (отчет не просите), один раз упал КИС 2011

5-перестал открыватся windows media player

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 28 декабря, 2010 пользователем ROMIK

[Roman_Five]

сделайте лог утилитой из этой статьи.

http://support.kaspersky.ru/faq/?qid=208639606

лог из корня диска С приложите

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('rk_remover-boot', 4);
StopService('rk_remover-boot');
StopService('BootScreen');
QuarantineFile('C:\WINDOWS\system32\Irida.bak','');
QuarantineFile('C:\PROGRA~1\Imikimi\Imikimi Plugin 0.5.1\imikimi_activex_plugin.ocx','');
QuarantineFile(':\WINDOWS\system32\srrstr.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\vidstub.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
DeleteFile('C:\WINDOWS\system32\Irida.bak');
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
DeleteService('rk_remover-boot');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
BC_DeleteSvc('rk_remover-boot');
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) - {f592709f-ff4a-4862-b659-4afabda56312} - (no file)

 

Рекомендуется удалить ПО, которое может конфликтовать

с установленным Kaspersky Internet Security:

- F-Secure Online Tools.

Если данные программы были ранее удалены некорректно,

можно воспользоваться специализированными утилитами

по очистке их следов с сайтов производителей данного ПО.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте новые логи по правилам.

Изменено 28 декабря, 2010 пользователем Roman_Five

[ROMIK]

Лог TDSS

 

F-Secure Online Tools никогда не ставил, более того кроме каспера на компе ни чего не стояло.

Скрипт выполнил

TDSSKiller.2.4.12.0_28.12.2010_22.30.02_log.txt

Изменено 28 декабря, 2010 пользователем ROMIK

[Roman_Five]

Лог TDSS

 

F-Secure Online Tools

 

по tdss - чисто.

 

ставили. в логах видно. скрипт для удаления.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{BDBDE413-7B1C-4C68-A8FF-C5B2B4090876}');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

лог MBAM и новые логи?

[ROMIK]

Если Malwarebytes' Anti-Malware не очень долго будет сканировать то лог будет сегодня, если долго то завтра.

[Roman_Five]

не очень долго будет сканировать

за пару минут не управитесь

[ROMIK]

Каспер 2 раза падал на ровном месте.

Скрипт удаления F-Secure выполнил.

Логи AVZ и MBAM будут завтра вечером.

Пока изменений нет.

А на что подозрение ?

[Roman_Five]

до лога утилиты TDSS собственно на TDSS и было

ждём, что скажет вирлаб. карантин отправили?

[ROMIK]

до лога утилиты TDSS собственно на TDSS и было

ждём, что скажет вирлаб. карантин отправили?

 

Привет

В HijackThis пофиксил. Malwarebytes проверяет, как проверит выложу. А также выложу отчет AVZ.

По карантину :

 

bcqr00003.dat,

bcqr00004.dat,

imikimi_activex_plugin.ocx,

Irida.bak

 

Вредоносный код в файлах не обнаружен.

 

rk_remover.sys

 

Файл в процессе обработки.

 

А можно во время проверки Malwarebytes сделать логи AVZ ?

Изменено 29 декабря, 2010 пользователем ROMIK

[Roman_Five]

А можно во время проверки Malwarebytes сделать логи AVZ ?

не желательно

[ROMIK]

не желательно

 

Хороша. Буду ждать Malwarebytes,а потом все логи приложу.

 

Вот логи. И на всякий случай лог гмер.

 

Скажите вердикт Файл в процессе обработки значит что его будет проверять аналитик ? И стоит ли мне ждать отчета о результате ?

лог.log

mbam_log_2010_12_29__20_54_31_.txt

virusinfo_syscure.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено 29 декабря, 2010 пользователем ROMIK

[Roman_Five]

значит что его будет проверять аналитик ? И стоит ли мне ждать отчета о результате ?

да и да

 

удалите в MBAM:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32 (Rootkit.Agent) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\44 (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\spydetector (Rogue.SpywareProcessDetector) -> No action taken.

 

c:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> No action taken.

c:\documents and settings\all users.windows\application data\kaspersky lab\Sandbox\KLSB2\Device\harddiskvolume1\documents and settings\777\рабочий стол\новая папка\A0026159.ocx (Trojan.Agent) -> No action taken.

c:\documents and settings\all users.windows\application data\kaspersky lab\Sandbox\KLSB2\Device\harddiskvolume1\documents and settings\777\рабочий стол\новая папка\replaceicon.ocx (Trojan.Agent) -> No action taken.

c:\documents and settings\all users.windows\application data\kaspersky lab\Sandbox\KLSB2\Device\harddiskvolume1\documents and settings\777\рабочий стол\новая папка\Ri.ocx (Trojan.Agent) -> No action taken.

c:\documents and settings\all users.windows\application data\kaspersky lab\Sandbox\KLSB2\Device\harddiskvolume1\documents and settings\777\рабочий стол\новая папка\ymsg12encrypt.dll (Trojan.Agent.Gen) -> No action taken.

c:\program files\kirillka.ru snow\kirillka.ru snow.exe (Trojan.Downloader) -> No action taken.

 

d:\system volume information\_restore{659c7a18-7b4f-4c4e-875e-8773eaf8f6a9}\RP44\A0017606.exe (Trojan.Dropper) -> No action taken.

 

c:\WINDOWS\system32\system32.exe (Backdoor.Bot) -> No action taken.

новый лог MBAM приложите.

проверьте на virustotal.com

c:\program files\Luxand\glamourizer\lglib3.dll (Malware.Packer.Gen) -> No action taken.
d:\Игры\worms armageddon\wormsconfig.exe (Spyware.Passwords) -> No action taken.

Изменено 29 декабря, 2010 пользователем Roman_Five

[ROMIK]

да и да

проверьте на virustotal.com

c:\program files\Luxand\glamourizer\lglib3.dll (Malware.Packer.Gen) -> No action taken.
d:\Игры\worms armageddon\wormsconfig.exe (Spyware.Passwords) -> No action taken.

 

d:\Игры\worms armageddon\wormsconfig.exe (Spyware.Passwords) -чист

 

c:\program files\Luxand\glamourizer\lglib3.dll (Malware.Packer.Gen) - вот

 

MBAM проверяет заново, проверит тогда удалю.

Изменено 29 декабря, 2010 пользователем ROMIK

[Roman_Five]

После того, как закончит MBAM!

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{659C7A18-7B4F-4C4E-875E-8773EAF8F6A9}\RP47\A0024040.pif','');
QuarantineFile('c:\program files\Luxand\glamourizer\lglib3.dll',' ');
DeleteFile('C:\System Volume Information\_restore{659C7A18-7B4F-4C4E-875E-8773EAF8F6A9}\RP47\A0024040.pif');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

что вообще с симптомами?

Симптомы:

1-перестал работать поиск, не через f3 ни через пуск. Вместо панели поиска пусто.

2-при открытии поиска через пуск или f3 иногда падает explorer

3-виснет Internet Explorer

4-стабильно падает GetSystemInfo (отчет не просите), один раз упал КИС 2011

5-перестал открыватся windows media player

Изменено 29 декабря, 2010 пользователем Roman_Five

[ROMIK]

что вообще с симптомами?

Все по старому.

Каспер стал падать с пугающей частотой.

WMP так и не открывается.

Поиска нет.

GetSystemInfo вроде не падает.

 

Вот что творится с Internet Explorer при его открытии: (скрин) потом он зависает намертво и через некоторое время сам вырубается

Изменено 29 декабря, 2010 пользователем ROMIK