Aleksey84 1 Опубликовано 12 марта, 2011 Автор Share Опубликовано 12 марта, 2011 Отправил. Выкладываю логи. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 марта, 2011 Share Опубликовано 12 марта, 2011 Aleksey84 если Вы будете выполнять данные Вам рекомендации как Вам пожелается - толку не будет. Восстановление системы: включено 50612 SYN_SENT 95.215.62.26 80 [3012] c:\program files (x86)\utorrent\utorrent.exe файл c:\windows\temp\ae54679.exe (или с подобным цифробуквенным именем) проверьте на http://www.virustotal.com/ ссылку со страницы результата приложите. отключите восстановление и закройте все программы begin ClearQuarantine; TerminateProcessByName('c:\windows\temp\ae54679.exe'); QuarantineFile('c:\windows\temp\ae54679.exe',''); DeleteFile('c:\windows\temp\ae54679.exe'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 1, 1, true); ExecuteWizard('SCU', 1, 1, true); RebootWindows(true); end. Перезагрузка! закройте все программы сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey84 1 Опубликовано 12 марта, 2011 Автор Share Опубликовано 12 марта, 2011 Ссылка: http://www.virustotal.com/file-scan/report...d054-1299934446 hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 марта, 2011 Share Опубликовано 12 марта, 2011 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Отправил. ответа из вирлаба ещё не было? Выполните рекомендации из этой темы: http://virusinfo.info/showthread.php?t=3519 Ссылку на Ваше сообщение в ТОЙ теме сообщите ЗДЕСЬ. Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey84 1 Опубликовано 12 марта, 2011 Автор Share Опубликовано 12 марта, 2011 (изменено) Ответа пока не было. ComboFix Файл сохранён как 110312_153127_virusinfo_files_MIDAS_4d7b91cf8ca92.zip Размер файла 2139944 MD5 e0a4ecc30ad9fe13aacdb68ce0f0779f ComboFix.txt Изменено 12 марта, 2011 пользователем Aleksey84 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 13 марта, 2011 Share Опубликовано 13 марта, 2011 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. RegLock:: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ClearQuarantine; QuarantineFileF('c:\windows\system32\','*.exe,*.dll,*.sys,*.drv', false,' ',0 ,0 ,'01.03.2011','13.03.2011',' ',' '); QuarantineFileF('c:\windows\syswow64\','*.exe,*.dll,*.sys,*.drv', false,' ',0 ,0 ,'01.03.2011','13.03.2011',' ',' '); QuarantineFileF('c:\windows\system32\drivers\','*.exe,*.dll,*.sys,*.drv', false,' ',0 ,0 ,'01.03.2011','13.03.2011',' ',' '); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте новые логи по правилам. DoctorWeb использовали? Деинсталлировали? Сделайте отчёт GSI http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906 Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey84 1 Опубликовано 13 марта, 2011 Автор Share Опубликовано 13 марта, 2011 Откатил назад драйвер мыши. Курсор стал нормальным. Наверное драйвер с вирусом. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 13 марта, 2011 Share Опубликовано 13 марта, 2011 не уверен про драйвер. у Вас в системе до послених логов в папке temp постоянно появлялись "детки" *.exe а вот кто их "мама" не понятно. рекомендую выполнить всё из моего последнего поста. в любом случае - сообщите о решении (либо новыми логами, либо "и так сойдёт ") в системе надо "прибраться" после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey84 1 Опубликовано 13 марта, 2011 Автор Share Опубликовано 13 марта, 2011 (изменено) Выложу новые логи отчёт GSI http://www.getsysteminfo.com/read.php?file...08b2d8082928c53 ComboFix.txt virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log GetSystemInfo_MIDAS_Алексей_2011_03_13_22_47_45.zip Изменено 13 марта, 2011 пользователем Aleksey84 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 марта, 2011 Share Опубликовано 14 марта, 2011 у Вас в системе до послених логов в папке temp постоянно появлялись "детки" *.exeа вот кто их "мама" не понятно. всё по-старому. может "детки" и безвредные... вирлаб так и не ответил? Рекомендуется установить следующие обновления: - установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows) *Windows 7 x64 - SP1x64 - все обновления на Windows (может потребоваться активация Windows) - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии - обновить Adobe Shockwave Player до актуальной версии - обновить Adobe Flash Player до актуальной версии - обновить QuickTime Player до актуальной версии Деинсталлируйте MBAM. Очистите временные папки: скачайте ATF Cleaner http://majorgeeks.com/ATF_Cleaner_d4949.html запустите - на всех вкладках (main firefox opera) - select all - empty selected перезагрузитесь. сделайте новый лог Combofix Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey84 1 Опубликовано 15 марта, 2011 Автор Share Опубликовано 15 марта, 2011 (изменено) Windows обновил. Вирлаб: qurantine.zip Вредоносный код в файле не обнаружен. 5af74b8.exe, 8b52dd4.exe, cae95f8.exe, e763c3e.exe, vkontaktedj.exe Вредоносный код в файлах не обнаружен. djvupropstr.dll, klsC569.tmp Файлы в процессе обработки. klsC0AA.tmp Файл в процессе обработки. Деинсталлировал MBAM. Выкладываю лог Combofix ComboFix.txt 000f323.rar Изменено 15 марта, 2011 пользователем Aleksey84 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 марта, 2011 Share Опубликовано 15 марта, 2011 "детки" отказались безвредными. Деинсталлируйте ComboFix: - нажмите Пуск|Start - Выполнить|Run - в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up всё. Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey84 1 Опубликовано 15 марта, 2011 Автор Share Опубликовано 15 марта, 2011 Спасибо за помощь 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.