Мизантроп Опубликовано 10 апреля, 2011 Опубликовано 10 апреля, 2011 Предоставляю логи с одной машины. Уверен, что заражена. Симптомы: очень медленная работа ОС. hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip
Roman_Five Опубликовано 10 апреля, 2011 Опубликовано 10 апреля, 2011 Деинсталлируйте AskToolbar Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application Data\NokiaInstallerCache\ProductCache\{D5878294-C113-43c5-A24F-FC333C52015A}\{3FC42713-B6E7-49AA-A553-A224FE9828A8}\Installer\InstallerService.exe',''); QuarantineFile('C:\WINDOWS\system32\APISlice.dll',''); QuarantineFile('C:\WINDOWS\system32\MSNSpook.dll',''); QuarantineFile('C:\WINDOWS\system32\UIVCL.dll',''); BC_ImportQuarantineList; BC_Activate; ExecuteRepair(1); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 89600622854 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O4 - HKUS\S-1-5-21-4229521504-2944731196-676908693-1006\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User '?') O4 - HKUS\S-1-5-21-4229521504-2944731196-676908693-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-21-4229521504-2944731196-676908693-1006\..\Run: [] (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - S-1-5-21-4229521504-2944731196-676908693-1006 Startup: USBGuard.lnk = ? (User '?') Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой: - Avira; - DrWEB. Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. После проведённого лечения рекомендуется установить следующие обновления: - установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows) * выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64 - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - все обновления на Windows (может потребоваться активация Windows) - обновить Java до актуальной версии, если используете - обновить Adobe Reader до актуальной версии, если используете - обновить Adobe Shockwave Player до актуальной версии, если используете - обновить Adobe Flash Player до актуальной версии, если используете - обновить QuickTime Player до актуальной версии, если используете Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Сделайте новые логи по правилам.
Мизантроп Опубликовано 10 апреля, 2011 Автор Опубликовано 10 апреля, 2011 (изменено) Скрипты выполнил. Обновления сделаю позже. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 10 апреля, 2011 пользователем Мизантроп
thyrex Опубликовано 10 апреля, 2011 Опубликовано 10 апреля, 2011 Обновите базы AVZ и переделайте логи Сделайте лог полного сканирования МВАМ
Мизантроп Опубликовано 10 апреля, 2011 Автор Опубликовано 10 апреля, 2011 Обновите базы AVZ и переделайте логи Сделайте лог полного сканирования МВАМ virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log mbam_log_2011_04_10__23_57_13_.txt
Roman_Five Опубликовано 11 апреля, 2011 Опубликовано 11 апреля, 2011 Удалите в MBAM: Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563} (Backdoor.Bifrose) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6D7B211A-88EA-490c-BAB9-3600D8D7C503} (Trojan.BHO) -> No action taken. Заражённые папки: c:\program files\connectionservices (Trojan.BHO) -> No action taken. Заражённые файлы: c:\WINDOWS\system32\dfrgre.dll.ren (Trojan.Downloader) -> No action taken. c:\program files\connectionservices\uninstall.exe (Trojan.BHO) -> No action taken. Обновляйте систему!
Мизантроп Опубликовано 11 апреля, 2011 Автор Опубликовано 11 апреля, 2011 Удалите в MBAM: После этого нужно прикладывать какие-нибудь логи? Обновляйте систему! Сейчас нет возможности.
Roman_Five Опубликовано 11 апреля, 2011 Опубликовано 11 апреля, 2011 После этого нужно прикладывать какие-нибудь логи? нет. Сейчас нет возможности. срочно изыщите, ибо SP2 - это очень плохо для Windows XP 1
thyrex Опубликовано 11 апреля, 2011 Опубликовано 11 апреля, 2011 После этого нужно прикладывать какие-нибудь логи?Если внимательно прочитать по ссылке об удалении в МВАМ, то там сказано, что нужно представить лог после удаления записей
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти