ElenKa 2 Опубликовано 13 апреля, 2011 Share Опубликовано 13 апреля, 2011 (изменено) Мне посоветовали обратиться сюда. В ноябре комп уже летел. Боюсь, что хочет опять. Не могу активировать ключ. Отсутствует "Черный" список. virusinfo_syscheck.htm virusinfo_syscheck.zip hijackthis.log Изменено 13 апреля, 2011 пользователем ElenKa Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 13 апреля, 2011 Share Опубликовано 13 апреля, 2011 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; ClearHostsFile; TerminateProcessByName('c:\program files\ticno\tabs\ticno tabs.exe'); TerminateProcessByName('c:\program files\ticno\tabs\tiny.exe'); TerminateProcessByName('C:\WINDOWS\system32\C1A82A\986223.EXE'); SetServiceStart('sysdrv32', 4); SetServiceStart('kgrwhlcu', 4); SetServiceStart('mkdrv', 4); StopService('sysdrv32'); StopService('mkdrv'); QuarantineFile('C:\WINDOWS\hfnmc.sys',''); QuarantineFile('C:\WINDOWS\system32\*.scr',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('c:\program files\ticno\*.*',''); QuarantineFile('iexplore.exe',''); QuarantineFile('ldr.dll',''); QuarantineFile('C:\Documents and Settings\User\Application Data\samson\winarj.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys',''); QuarantineFile('C:\WINDOWS\system32\*.tmp',''); QuarantineFile('C:\WINDOWS\system32\drivers\nvhda32.sys',''); QuarantineFile('C:\WINDOWS\sgope.sys',''); DeleteFile('C:\WINDOWS\sgope.sys'); DeleteFileMask('C:\WINDOWS\system32\','*.tmp ',false ,' '); DeleteFile('C:\Documents and Settings\User\Application Data\samson\winarj.exe'); DeleteFileMask('C:\WINDOWS\system32\C1A82A\','*.* ',true ,' '); DeleteDirectory('C:\WINDOWS\system32\C1A82A\',' '); DeleteFileMask('C:\WINDOWS\system32\','*.scr ',false ,' '); DeleteFile('\?\C:\WINDOWS\sgope.sys'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\hfnmc.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\sysdrv32.sys'); DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxarj'); DeleteService('sysdrv32'); DeleteService('kgrwhlcu'); DeleteService('mkdrv'); DelAutorunByFileName('C:\WINDOWS\system32\C1A82A\986223.EXE'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\sgope.sys'); BC_DeleteFile('C:\Documents and Settings\User\Application Data\samson\winarj.exe'); BC_DeleteFile('\?\C:\WINDOWS\sgope.sys'); BC_DeleteFile('C:\WINDOWS\hfnmc.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\sysdrv32.sys'); BC_DeleteSvc('mkdrv'); BC_DeleteSvc('sysdrv32'); BC_Activate; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net O1 - Hosts: fdfb6tyhjhg56 O1 - Hosts: 76.76.116.123 www.telebank.ru O1 - Hosts: 76.76.116.123 telebank.ru O1 - Hosts: 76.76.116.126 www.alfabank.ru O1 - Hosts: 76.76.116.126 alfabank.ru O1 - Hosts: 76.76.116.126 click.alfabank.ru O1 - Hosts: 76.76.116.124 sbrf.ru O1 - Hosts: 76.76.116.124 www.sbrf.ru O1 - Hosts: 76.76.116.124 www.esk.sbrf.ru O1 - Hosts: 76.76.116.124 esk.sbrf.ru O1 - Hosts: 76.76.116.126 www.click.alfabank.ru O1 - Hosts: довать соответствующее имя. O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\Ticno\Tabs\BhoNew_0317.dll O4 - HKLM\..\Run: [winxarj] "C:\Documents and Settings\User\Application Data\samson\winarj.exe" autostart O4 - HKCU\..\RunOnce: [ie_bar] iexplore.exe http://ticno.com/?c=first O4 - Global Startup: Tabs.lnk = C:\Program Files\Ticno\Tabs\Ticno Tabs.exe Проверьте компьютер утилитой TDSSkiller из данной статьи. http://support.kaspersky.ru/faq/?qid=208639606 Полученный лог из корня диска С приложите к новому сообщению. + Сделайте новые логи по правилам. + Сделайте лог GMER http://forum.kasperskyclub.ru/index.php?sh...st&p=108482 полученный лог прикрепите. Изменено 13 апреля, 2011 пользователем Roman_Five 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ElenKa 2 Опубликовано 14 апреля, 2011 Автор Share Опубликовано 14 апреля, 2011 Кажется сделала. получилось! hijackthis.log TDSSKiller.2.4.21.0_14.04.2011_12.20.01_log.txt virusinfo_syscheck.zip проверка.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 апреля, 2011 Share Опубликовано 14 апреля, 2011 Проверьте систему на Kido инструкция в личке. После проверки: 1) деинсталлируйте Ticno Tabs (раз не нужен) 2) выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('wfnrozvw', 4); StopService('NVHDA'); StopService('wfnrozvw'); QuarantineFile('ldr.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\nvhda32.sys',''); QuarantineFile('C:\WINDOWS\system32\02.tmp',''); DeleteFile('C:\WINDOWS\system32\02.tmp'); DeleteFileMask('C:\Program Files\Ticno\','*.* ',true ,' '); DeleteDirectory('C:\Program Files\Ticno\ ',' '); DeleteService('wfnrozvw'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\02.tmp'); BC_DeleteSvc('wfnrozvw'); BC_Activate; ExecuteWizard('TSW',1,1,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. 3) скачайте OSAM установите. запустите. дождитесь окончания сканирования. полученный лог osam.html прикрепите к новому сообщению. 4) Сделайте новые логи по правилам. P.s.: рано или поздно Вам придётся проделать ещё эти операции (самое важное - установить SP3 и обновления на Windows). можно уже начинать, параллельно с лечением. После проведённого лечения рекомендуется установить следующие обновления: - установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows) * выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64 - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - все обновления на Windows (может потребоваться активация Windows) Цитата Ссылка на сообщение Поделиться на другие сайты
ElenKa 2 Опубликовано 14 апреля, 2011 Автор Share Опубликовано 14 апреля, 2011 (изменено) Спасибо огромное. Сделала как сказали. Касперский теперь в боевой готовности Изменено 14 апреля, 2011 пользователем ElenKa Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 14 апреля, 2011 Share Опубликовано 14 апреля, 2011 ElenKa Это выполнили? http://forum.kasperskyclub.ru/index.php?sh...st&p=394180 Если да, то нужны новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
ElenKa 2 Опубликовано 15 апреля, 2011 Автор Share Опубликовано 15 апреля, 2011 (изменено) выполняю hijackthis.log osam.html virusinfo_syscheck.zip Изменено 15 апреля, 2011 пользователем ElenKa Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 апреля, 2011 Share Опубликовано 15 апреля, 2011 ElenKa, Вы выполняли скрипт из моего прошлого поста? если да, повторите его выполнение в безопасном режиме. если нет, сделайте в обычном. после этого обновите базы AVZ и сделайте 2 новых лога. запустите OSAM. дождитесь окончания сканирования. в дереве слева в разделе Drivers выберите ветку HKLM\SYSTEM\CurrentControlSet\Services справа найдите объект "wfnrozvw" (wfnrozvw) правый клик по нему - Turn run OFF в дереве слева в разделе Services выберите ветку HKLM\SYSTEM\CurrentControlSet\Services справа найдите объект "Image System" (euxrjtay) правый клик по нему - Turn run OFF внизу справа нажмите Apply перезагрузите компьютер. запустите OSAM. дождитесь окончания сканирования. вверху слева нажмите Save Log полученный лог osam.html прикрепите к новому сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
ElenKa 2 Опубликовано 15 апреля, 2011 Автор Share Опубликовано 15 апреля, 2011 не получается 1) деинсталлируйте Ticno Tabs (раз не нужен) 2) выполните скрипт: Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 апреля, 2011 Share Опубликовано 15 апреля, 2011 1) антивирус можете отключить на время выполнения скрипта? 2) если запрещено политикой - применить для всех и разрешить Цитата Ссылка на сообщение Поделиться на другие сайты
ElenKa 2 Опубликовано 15 апреля, 2011 Автор Share Опубликовано 15 апреля, 2011 сделала osam.html Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 15 апреля, 2011 Share Опубликовано 15 апреля, 2011 (изменено) ElenKa, вы выполнили рекомендации из этих постов? ElenKa,Вы выполняли скрипт из моего прошлого поста? если да, повторите его выполнение в безопасном режиме. если нет, сделайте в обычном. после этого обновите базы AVZ и сделайте 2 новых лога. запустите OSAM. дождитесь окончания сканирования. в дереве слева в разделе Drivers выберите ветку HKLM\SYSTEM\CurrentControlSet\Services справа найдите объект "wfnrozvw" (wfnrozvw) правый клик по нему - Turn run OFF в дереве слева в разделе Services выберите ветку HKLM\SYSTEM\CurrentControlSet\Services справа найдите объект "Image System" (euxrjtay) правый клик по нему - Turn run OFF внизу справа нажмите Apply перезагрузите компьютер. запустите OSAM. дождитесь окончания сканирования. вверху слева нажмите Save Log полученный лог osam.html прикрепите к новому сообщению. 1) антивирус можете отключить на время выполнения скрипта?2) если запрещено политикой - применить для всех и разрешить Если делали, расскажите что именно и что не получилось? Вижу, что лог OSAM вы сделали, а действия с выделенными объектами (wfnrozvw и euxrjtay) совершали? Изменено 15 апреля, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
ElenKa 2 Опубликовано 15 апреля, 2011 Автор Share Опубликовано 15 апреля, 2011 На данный момент все уже вроде получилось. Отключила антивирус и выполнила скрипт. Вижу, что лог OSAM вы сделали, а действия с выделенными объектами (wfnrozvw и euxrjtay) совершали?- совершала. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 апреля, 2011 Share Опубликовано 15 апреля, 2011 ElenKa, пока у вас не закончился рабочий день, ещё это после этого обновите базы AVZ и сделайте 2 новых лога. Цитата Ссылка на сообщение Поделиться на другие сайты
ElenKa 2 Опубликовано 15 апреля, 2011 Автор Share Опубликовано 15 апреля, 2011 обновление базы - выдает ошибку: Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.