Evgencheg Опубликовано 15 февраля, 2011 Share Опубликовано 15 февраля, 2011 (изменено) Комп в целом работает нормально за редким исключением в том что оочень редко, но Nod32 (с устаревшими базами) сообщает о появлении и последующем удалении неких exe-шников в папках /Film, /Music и в /Documents and Settings. Одноврменно с этим (хотя вероятно и не связано) не обновляются Антивиры и нет доступа на некоторые сайты, в основном Антивирусов. Не исключено что последствия каких-то "хвостов" от ранее пережитых вирусов. Спасибо! Да уж... Логи прикрепить так и не удалось сразу! - через Анонимайзер не видно нужных опций! Так что добавлю позднее через другой комп, наверное. Изменено 15 февраля, 2011 пользователем Evgencheg Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 15 февраля, 2011 Share Опубликовано 15 февраля, 2011 пробуйте зайти в Вашу тему через эту ссылку без анонимайзера http://87.242.74.203/index.php?showtopic=26474&hl= Ссылка на комментарий Поделиться на другие сайты More sharing options...
Evgencheg Опубликовано 16 февраля, 2011 Автор Share Опубликовано 16 февраля, 2011 Увы. По ссылке тоже не удалось! Отправляю с другого ПК. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 16 февраля, 2011 Share Опубликовано 16 февраля, 2011 Проверьте систему утилитой из этой статьи: http://support.kaspersky.ru/viruses/solutions?qid=208636131 Пофиксите в HijackThis: F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\4b6171cc.exe,\\?\globalroot\systemroot\system32\bytk8kl.exe,\\?\globalroot\systemroot\system32\jbg3ra2.exe,\\?\globalroot\systemroot\system32\gnxntuj.exe,c:\windows\system32\kgypwk.exe, O4 - Startup: setup_9.0.0.722_14.02.2011_18-09.lnk = C:\Program Files\Virus Removal Tool\setup_9.0.0.722_14.02.2011_18-09\startup.exe Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('amsint32', 4); StopService('amsint32'); QuarantineFile('c:\windows\system32\kgypwk.exe',''); QuarantineFile('c:\windows\system32\4b6171cc.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\jbg3ra2.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\gnxntuj.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\bytk8kl.exe',''); QuarantineFile('C:\DOCUME~1\365A~1\LOCALS~1\Temp\_tc\HDInspector.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\kmopnn.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\kmopnn.sys'); DeleteFile('\\?\globalroot\systemroot\system32\bytk8kl.exe'); DeleteFile('\\?\globalroot\systemroot\system32\gnxntuj.exe'); DeleteFile('\\?\globalroot\systemroot\system32\jbg3ra2.exe'); DeleteFile('c:\windows\system32\4b6171cc.exe'); DeleteFile('c:\windows\system32\kgypwk.exe'); DeleteService('amsint32'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Обновите базы AVZ! Сделайте новые логи по правилам. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Evgencheg Опубликовано 16 февраля, 2011 Автор Share Опубликовано 16 февраля, 2011 Ну воооот! )))) Уже совсем другое дело! Обновиись базы AVZ и теперь непосредственно с этого компа есть возможность отправить "новые" log-и. Спасибо! Ответ ЛК: --------------------------------------------------- > > >qurantine.zip > >Вредоносный код в файле не обнаружен. > > -------------------------------------------- virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 17 февраля, 2011 Share Опубликовано 17 февраля, 2011 После проведённого лечения рекомендуется установить следующие обновления: - обновить Internet Explorer до версии 8.0 - все обновления на Windows XP - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии - обновить Adobe Shockwave Player до актуальной версии - обновить Adobe Flash Player до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Evgencheg Опубликовано 17 февраля, 2011 Автор Share Опубликовано 17 февраля, 2011 Да уж..... "Malwarebytes' " много чего нашёл! Я бы даже, наверное, сказал бы черезчур перестраховывается с подозрительными! Пока не выбирал чего удалить/чего оставить, но вот эти файлы оставил бы: ------------------------------------------------------ -> c:\Distrib\your uninstaller! 2008 pro\KEYGEN.EXE (Trojan.Dropper.PGen) -> c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\utilities\WinUDA.exe (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\utilities\regworkshop\Patch.exe (RiskWare.Tool.CK) -> c:\program files\totalcommanderdl\utilities\SFX Tool\Upack.exe (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\utilities\WinUpack\Upack.exe (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\utilities\WinUpack\winupacke.exe (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\utilities\WinUpack\winupackr.exe (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\Plugins\exe\AkelPad\akelfiles\Plugs\Scripts.dll (Trojan.Agent.Gen) ---------------------------------------------------------------------------------------- остальные удалил бы. ? mbam_log_2011_02_17__12_57_01_.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 17 февраля, 2011 Share Опубликовано 17 февраля, 2011 Удалите в MBAM: Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\HomePage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken. Заражённые файлы: c:\documents and settings\Женька\doctorweb\quarantine\ewtj.pif (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\hnocfs.exe (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\mikgy.pif (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\qkajg.pif (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\vtgmjo.pif (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\vtrw.exe (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\ydiifw.pif (Malware.Packer.Gen) -> No action taken. ... c:\WINDOWS\system32\T36gUnv.exe (Heuristics.Shuriken) -> No action taken. c:\WINDOWS\system32\5kZ3idq.exe (Heuristics.Shuriken) -> No action taken. c:\documents and settings\Женька\application data\avdrn.dat (Malware.Trace) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. а затем деинсталлируйте и сам MBAM Ссылка на комментарий Поделиться на другие сайты More sharing options...
Evgencheg Опубликовано 17 февраля, 2011 Автор Share Опубликовано 17 февраля, 2011 Так и сделал! Далее был установлен "Антивирус Касперского". Думаю не лишним будет подытожить очередными (надеюсь финальными) логами: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 17 февраля, 2011 Share Опубликовано 17 февраля, 2011 (надеюсь финальными) правильно надеетесь Ссылка на комментарий Поделиться на другие сайты More sharing options...
От mmaazzik
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти