Searlgg 0 Опубликовано 14 апреля, 2011 Share Опубликовано 14 апреля, 2011 Вылетает svchost.exe, тормозит система при загрузке, регулярно появляетсясообщение о попытке соединения с вредоносным сайтом. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 апреля, 2011 Share Опубликовано 14 апреля, 2011 Searlgg, скачайте утилиту AVZ версии 4.35 обновите базы переделайте логи AVZ Цитата Ссылка на сообщение Поделиться на другие сайты
Searlgg 0 Опубликовано 15 апреля, 2011 Автор Share Опубликовано 15 апреля, 2011 Новые логи virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 апреля, 2011 Share Опубликовано 15 апреля, 2011 Проверьте компьютер утилитой из данной статьи http://support.kaspersky.ru/faq/?qid=208639606 полученный лог из корня диска С приложите Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('sptd'); StopService('atapi'); StopService('dtscsi'); QuarantineFile('C:\WINDOWS\ResPatch\ResPatch.exe',''); QuarantineFile('C:\System Volume Information\_restore{2A7C1DA4-1A56-4C9A-A5ED-0F7A4E2983F4}\RP44\A0057557.exe',''); QuarantineFile('C:\System Volume Information\_restore{2A7C1DA4-1A56-4C9A-A5ED-0F7A4E2983F4}\RP31\A0046519.exe',''); QuarantineFile('C:\D&S\Дима\Мои документы\Мои видеозаписи\Project\ВВ\Mondir.exe.d',''); QuarantineFile('C:\D&S\Дима\Мои документы\Мои видеозаписи\Project\Auto Cpy\Архив WinRAR.rar',''); QuarantineFile('C:\D&S\Дима\Мои документы\Project\Сканер\Project1.exe',''); QuarantineFile('C:\D&S\Дима\Мои документы\Project\My Form\Project1.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\dtscsi.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD1757.SYS',''); QuarantineFile('C:\Program Files\Google\GoogleToolbar1.dll',''); DeleteFile('C:\System Volume Information\_restore{2A7C1DA4-1A56-4C9A-A5ED-0F7A4E2983F4}\RP31\A0046519.exe'); DeleteFile('C:\System Volume Information\_restore{2A7C1DA4-1A56-4C9A-A5ED-0F7A4E2983F4}\RP44\A0057557.exe'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',1,1,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): После проведённого лечения рекомендуется установить следующие обновления: - все обновления на Windows (может потребоваться активация Windows) - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии проверьте системный раздел скандиском. пуск-выполнить-chkdsk C: /v /f /r /x нажать Y перезагрузиться. подождать. запустите для него дефрагментацию. пуск-выполнить-defrag C: /v проверьте целостность системы (может потребоваться диск с Windows) пуск-выполнить-sfc /scannow Сделайте новые логи по правилам. DNS 157.162.11.254 Вы прописывали? Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Searlgg 0 Опубликовано 15 апреля, 2011 Автор Share Опубликовано 15 апреля, 2011 (изменено) Скрипты AVZ выполнил, карантин отправить не получается IE пишет что нельзя отобразить страницу(возможно карантин много весит около 60мб). Все что находится в папке Project это не вирусы а безобидные Делфи проэкты. Еще сегодня на комп откудато установилась программа GuardMailRU.exe не удаляется стандартными способами. Неубивается и восстанавливает себя в автозагрузке. Помогите ее удалить. Команды в Выполнить ни одна не работают Пишет что невозможно найти. TDSSKiller.2.4.21.0_15.04.2011_16.24.45_log.txt mbam_log_2011_04_15__21_19_00_.txt Изменено 15 апреля, 2011 пользователем Searlgg Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 апреля, 2011 Share Опубликовано 15 апреля, 2011 (изменено) выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\ResPatch\ResPatch.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD1757.SYS',''); QuarantineFile('C:\Program Files\Google\GoogleToolbar1.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end. затем этот: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Удалите в MBAM: Заражённые папки: c:\program files\VVSN (Adware.WhenU) -> No action taken. c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken. Заражённые файлы: c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken. проверьте на virustotal.com c:\WINDOWS\system32\winmine.exe ссулку на результат приложите Переделайте лог MBAM по правилам! Тип сканирования: Быстрое сканирование надо - полное! сделайте логи по правилам. Команды в Выполнить ни одна не работают Пишет что невозможно найти. а если там набрать cmd ? Win+R cmd enter Изменено 15 апреля, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Searlgg 0 Опубликовано 16 апреля, 2011 Автор Share Опубликовано 16 апреля, 2011 (изменено) Размер карантина не сильно уменьшился и он все равно неотправляется. Файл ResPatch.exe весит около 20 мб. А размер карантина немного больше 50мб. winmine.exe - http://www.virustotal.com/file-scan/report...e740-1302890371 Файлы и папку VVSN удалил после создания нового MBAM лога. Команды в выполнить уже работают. mbam_log_2011_04_16__10_39_55_.txt Изменено 16 апреля, 2011 пользователем Searlgg Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 апреля, 2011 Share Опубликовано 16 апреля, 2011 проверьте сами на virustotal.com C:\WINDOWS\ResPatch\ResPatch.exe C:\WINDOWS\System32\Drivers\SPTD1757.SYS C:\Program Files\Google\GoogleToolbar1.dll c:\masm32\qeditor.exe c:\masm32\examples\dialogs\calender\calender.exe c:\masm32\examples\dialogs\simple\simple.exe c:\masm32\examples\dialogs\tests\tests.exe c:\masm32\examples\exampl05\qeplugin\qeplugin.dll c:\masm32\examples\exampl06\regdemo\regdemo.exe c:\masm32\tools\makecimp\vcrtdemo\vcrtdemo.exe c:\masm32\tutorial\dlltute\dll\dlltute.dll удалите в MBAM: c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056416.exe (Trojan.Dropper.PGen) -> Not selected for removal. c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056446.dll (Spyware.Passwords) -> Not selected for removal. c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056462.exe (Trojan.Downloader) -> Not selected for removal. c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056677.exe (Trojan.Downloader) -> Not selected for removal. c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056709.dll (Spyware.Passwords) -> Not selected for removal. c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056839.exe (Malware.Packer) -> Not selected for removal. c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056842.exe (Trojan.Downloader) -> Not selected for removal. c:\system volume information\_restore{2a7c1da4-1a56-4c9a-a5ed-0f7a4e2983f4}\RP44\A0056850.exe (Malware.Packer) -> Not selected for removal. Сделайте логи AVZ и HJT GuardMailRU.exe будем удалять? Цитата Ссылка на сообщение Поделиться на другие сайты
Searlgg 0 Опубликовано 16 апреля, 2011 Автор Share Опубликовано 16 апреля, 2011 ResPatch - http://www.virustotal.com/file-scan/report...8016-1302950857 Sptd1757.sys - Неудалось проверить, занят другим процессом (в безопасном режиме тоже) GoogleToolbar1.dll - http://www.virustotal.com/file-scan/report...eb3d-1302950786 Qeditor.exe - http://www.virustotal.com/file-scan/report...c839-1302951240 Calender.exe - http://www.virustotal.com/file-scan/report...64ad-1302951025 Simple.exe - http://www.virustotal.com/file-scan/report...fd10-1302951203 Tests.exe - http://www.virustotal.com/file-scan/report...0ffd-1302951273 Qeplugin.dll - http://www.virustotal.com/file-scan/report...3b8c-1302951395 regdemo.exe - http://www.virustotal.com/file-scan/report...3cf4-1302951528 vcrtdemo.exe - http://www.virustotal.com/file-scan/report...b98d-1302952134 dlltute.dll - http://www.virustotal.com/file-scan/report...6cd3970eaffd026 GuardMailRU удалился в безопасном режиме virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 апреля, 2011 Share Опубликовано 17 апреля, 2011 dlltute.dll - перепроверьте. кривая ссылка а также C:\WINDOWS\System32\drivers\zntport.sys Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\ResPatch\ResPatch.exe',''); DeleteFile('C:\WINDOWS\ResPatch\ResPatch.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R3 - Default URLSearchHook is missing O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O23 - Service: Guard.Mail.ru - Unknown owner - C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe (file missing) на вопрос о DNS Вы так и не ответили. DNS 157.162.11.254 Вы прописывали? если нет, пофиксите: O17 - HKLM\System\CCS\Services\Tcpip\..\{84B3EADF-4160-4822-9016-1DB759AF168A}: NameServer = 157.162.11.254 DNS 194.247.179.241 194.247.179.241Вы прописывали? если нет, пофиксите: O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5CFCFE-479F-4848-8C8D-DF5C2B9920D1}: NameServer = 194.247.179.241 194.247.179.241 После проведённого лечения рекомендуется установить следующие обновления: - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - все обновления на Windows (может потребоваться активация Windows) - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии Деинсталлируйте MBAM Проблема исчезла? Цитата Ссылка на сообщение Поделиться на другие сайты
Searlgg 0 Опубликовано 22 апреля, 2011 Автор Share Опубликовано 22 апреля, 2011 (изменено) DNS я не писал , но возможно его писали установщики интернета. 194.247.179.241 это ихний IP. С сайтом не соединяет, но svchost.exe вылетает, после чего зависает компьютер. dlltute.dll - http://www.virustotal.com/file-scan/report...d026-1302951923 zntport.sys - http://www.virustotal.com/file-scan/report...90e2-1303053702 Изменено 22 апреля, 2011 пользователем Searlgg Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 апреля, 2011 Share Опубликовано 22 апреля, 2011 dlltute.dll заархивируйте файл с паролем virus и отправьте http://support.kaspersky.ru/virlab/helpdesk.html пофиксите: O17 - HKLM\System\CCS\Services\Tcpip\..\{84B3EADF-4160-4822-9016-1DB759AF168A}: NameServer = 157.162.11.254 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Searlgg 0 Опубликовано 22 апреля, 2011 Автор Share Опубликовано 22 апреля, 2011 dlltute.dll отправил. ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 апреля, 2011 Share Опубликовано 22 апреля, 2011 не сделали: пофиксите:Код O17 - HKLM\System\CCS\Services\Tcpip\..\{84B3EADF-4160-4822-9016-1DB759AF168A}: NameServer = 157.162.11.254 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: RegLock:: [HKEY_USERS\S-1-5-21-117609710-1580818891-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*>] [HKEY_USERS\S-1-5-21-117609710-1580818891-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*>\OpenWithList] После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Содержимое папки C:\Qoobox\Quarantine заархивируйте с паролем virus и отошлите карантин через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. а также Win+R cmd route -f Цитата Ссылка на сообщение Поделиться на другие сайты
Searlgg 0 Опубликовано 22 апреля, 2011 Автор Share Опубликовано 22 апреля, 2011 Зря я пофиксил O17 - HKLM\System\CCS\Services\Tcpip\..\{84B3EADF-4160-4822-9016-1DB759AF168A}: NameServer = 157.162.11.254 пропало подключение к интернету. Пришлось систему восстанавливать. Делать скрипт Combofix заново? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.