Evgencheg 0 Опубликовано 15 февраля, 2011 Share Опубликовано 15 февраля, 2011 (изменено) Комп в целом работает нормально за редким исключением в том что оочень редко, но Nod32 (с устаревшими базами) сообщает о появлении и последующем удалении неких exe-шников в папках /Film, /Music и в /Documents and Settings. Одноврменно с этим (хотя вероятно и не связано) не обновляются Антивиры и нет доступа на некоторые сайты, в основном Антивирусов. Не исключено что последствия каких-то "хвостов" от ранее пережитых вирусов. Спасибо! Да уж... Логи прикрепить так и не удалось сразу! - через Анонимайзер не видно нужных опций! Так что добавлю позднее через другой комп, наверное. Изменено 15 февраля, 2011 пользователем Evgencheg Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 февраля, 2011 Share Опубликовано 15 февраля, 2011 пробуйте зайти в Вашу тему через эту ссылку без анонимайзера http://87.242.74.203/index.php?showtopic=26474&hl= Цитата Ссылка на сообщение Поделиться на другие сайты
Evgencheg 0 Опубликовано 16 февраля, 2011 Автор Share Опубликовано 16 февраля, 2011 Увы. По ссылке тоже не удалось! Отправляю с другого ПК. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 февраля, 2011 Share Опубликовано 16 февраля, 2011 Проверьте систему утилитой из этой статьи: http://support.kaspersky.ru/viruses/solutions?qid=208636131 Пофиксите в HijackThis: F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\4b6171cc.exe,\\?\globalroot\systemroot\system32\bytk8kl.exe,\\?\globalroot\systemroot\system32\jbg3ra2.exe,\\?\globalroot\systemroot\system32\gnxntuj.exe,c:\windows\system32\kgypwk.exe, O4 - Startup: setup_9.0.0.722_14.02.2011_18-09.lnk = C:\Program Files\Virus Removal Tool\setup_9.0.0.722_14.02.2011_18-09\startup.exe Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('amsint32', 4); StopService('amsint32'); QuarantineFile('c:\windows\system32\kgypwk.exe',''); QuarantineFile('c:\windows\system32\4b6171cc.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\jbg3ra2.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\gnxntuj.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\bytk8kl.exe',''); QuarantineFile('C:\DOCUME~1\365A~1\LOCALS~1\Temp\_tc\HDInspector.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\kmopnn.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\kmopnn.sys'); DeleteFile('\\?\globalroot\systemroot\system32\bytk8kl.exe'); DeleteFile('\\?\globalroot\systemroot\system32\gnxntuj.exe'); DeleteFile('\\?\globalroot\systemroot\system32\jbg3ra2.exe'); DeleteFile('c:\windows\system32\4b6171cc.exe'); DeleteFile('c:\windows\system32\kgypwk.exe'); DeleteService('amsint32'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Обновите базы AVZ! Сделайте новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
Evgencheg 0 Опубликовано 16 февраля, 2011 Автор Share Опубликовано 16 февраля, 2011 Ну воооот! )))) Уже совсем другое дело! Обновиись базы AVZ и теперь непосредственно с этого компа есть возможность отправить "новые" log-и. Спасибо! Ответ ЛК: --------------------------------------------------- > > >qurantine.zip > >Вредоносный код в файле не обнаружен. > > -------------------------------------------- virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 февраля, 2011 Share Опубликовано 17 февраля, 2011 После проведённого лечения рекомендуется установить следующие обновления: - обновить Internet Explorer до версии 8.0 - все обновления на Windows XP - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии - обновить Adobe Shockwave Player до актуальной версии - обновить Adobe Flash Player до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Evgencheg 0 Опубликовано 17 февраля, 2011 Автор Share Опубликовано 17 февраля, 2011 Да уж..... "Malwarebytes' " много чего нашёл! Я бы даже, наверное, сказал бы черезчур перестраховывается с подозрительными! Пока не выбирал чего удалить/чего оставить, но вот эти файлы оставил бы: ------------------------------------------------------ -> c:\Distrib\your uninstaller! 2008 pro\KEYGEN.EXE (Trojan.Dropper.PGen) -> c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\utilities\WinUDA.exe (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\utilities\regworkshop\Patch.exe (RiskWare.Tool.CK) -> c:\program files\totalcommanderdl\utilities\SFX Tool\Upack.exe (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\utilities\WinUpack\Upack.exe (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\utilities\WinUpack\winupacke.exe (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\utilities\WinUpack\winupackr.exe (Malware.Packer.Gen) -> c:\program files\totalcommanderdl\Plugins\exe\AkelPad\akelfiles\Plugs\Scripts.dll (Trojan.Agent.Gen) ---------------------------------------------------------------------------------------- остальные удалил бы. ? mbam_log_2011_02_17__12_57_01_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 февраля, 2011 Share Опубликовано 17 февраля, 2011 Удалите в MBAM: Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\HomePage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken. Заражённые файлы: c:\documents and settings\Женька\doctorweb\quarantine\ewtj.pif (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\hnocfs.exe (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\mikgy.pif (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\qkajg.pif (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\vtgmjo.pif (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\vtrw.exe (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Женька\doctorweb\quarantine\ydiifw.pif (Malware.Packer.Gen) -> No action taken. ... c:\WINDOWS\system32\T36gUnv.exe (Heuristics.Shuriken) -> No action taken. c:\WINDOWS\system32\5kZ3idq.exe (Heuristics.Shuriken) -> No action taken. c:\documents and settings\Женька\application data\avdrn.dat (Malware.Trace) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. а затем деинсталлируйте и сам MBAM Цитата Ссылка на сообщение Поделиться на другие сайты
Evgencheg 0 Опубликовано 17 февраля, 2011 Автор Share Опубликовано 17 февраля, 2011 Так и сделал! Далее был установлен "Антивирус Касперского". Думаю не лишним будет подытожить очередными (надеюсь финальными) логами: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 февраля, 2011 Share Опубликовано 17 февраля, 2011 (надеюсь финальными) правильно надеетесь Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.