Перейти к содержанию

Проверьте логи


alexs2011

Рекомендуемые сообщения

Не могли бы вы проверить логи? Подозреваю заражение.

 

kis 12 нашел вирусы после создания логов, комп перезагрузился и теперь антивирус не запускается и сайт http://www.kaspersky.ru/ не доступен.

 

Строгое предупреждение от модератора INC®
Файл карантина удален. Нужен файл virusinfo_syscure.zip, а не virusinfo_cure.zip

hijackthis.log

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты

alexs2011, здравствуйте.

 

Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('f:\documents and settings\admin\application data\7.tmp');
TerminateProcessByName('f:\windows\aadrive32.exe');
QuarantineFile('f:\documents and settings\admin\application data\7.tmp','');
QuarantineFile('F:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('F:\WINDOWS\system32\72.exe','');
QuarantineFile('F:\WINDOWS\system32\55.exe','');
QuarantineFile('F:\WINDOWS\system32\33.exe','');
QuarantineFile('F:\WINDOWS\system32\14.exe','');
QuarantineFile('F:\WINDOWS\system32\01.exe','');
QuarantineFile('f:\windows\system32\cnab3rpk.exe','');
QuarantineFile('F:\WINDOWS\system32\csrcs.exe','');
DeleteFile('f:\documents and settings\admin\application data\7.tmp');
DeleteFile('f:\windows\aadrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('F:\WINDOWS\system32\01.exe');
DeleteFile('F:\WINDOWS\system32\14.exe');
DeleteFile('F:\WINDOWS\system32\33.exe');
DeleteFile('F:\WINDOWS\system32\55.exe');
DeleteFile('F:\WINDOWS\system32\72.exe');
DeleteFile('F:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

O4 - HKLM\..\Run: [Microsoft Driver Setup] F:\WINDOWS\aadrive32.exe
O4 - HKCU\..\Run: [Tnaww] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] F:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] F:\WINDOWS\aadrive32.exe

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

Обязательно для выполнения, т.к. у вас заражение сетевым червем!

 

 

Sakhatelecom ваш провайдер?

 

 

+Сделайте новые логи AVZ

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ссылка на комментарий
Поделиться на другие сайты

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Личный кабинет не открывается. Может отправить карантин вам?

 

Sakhatelecom ваш провайдер?

 

Да

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

Поставлю вечером

 

Лог Malwarebytes' Anti-Malware

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

mbam_log_2011_07_31__12_18_34_.txt

Ссылка на комментарий
Поделиться на другие сайты

Поставлю вечером

ставьте как можно скорее, иначе лечение не закончится никогда. :)

у Вас повторное заражение.

 

Личный кабинет не открывается.

а так?

https://38.117.98.238/ru/

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата.

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме

F:\WINDOWS\System32\26.scr

f:\windows\system32\cnab3rpk.exe

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('F:\Documents and Settings\Admin\Application Data\Kdrure.exe','');
QuarantineFile('F:\Documents and Settings\Admin\Application Data\Ebrury.exe','');
QuarantineFile('F:\Documents and Settings\Admin\Application Data\A.tmp','');
QuarantineFile('F:\Documents and Settings\Admin\Application Data\1F.tmp','');
QuarantineFile('F:\WINDOWS\System32\26.scr','');
QuarantineFile('F:\Documents and Settings\Admin\Application Data\38.tmp','');
QuarantineFile('F:\Documents and Settings\Admin\Application Data\D.tmp','');
QuarantineFile('F:\WINDOWS\002935_.tmp','');
QuarantineFile('F:\WINDOWS\system32\og.dll','');
DeleteFile('F:\Documents and Settings\Admin\Application Data\Ebrury.exe');
DeleteFile('F:\Documents and Settings\Admin\Application Data\Kdrure.exe');
DeleteFile('F:\Documents and Settings\Admin\Application Data\1F.tmp');
DeleteFile('F:\Documents and Settings\Admin\Application Data\A.tmp');
DeleteFile('F:\Documents and Settings\Admin\Application Data\38.tmp');
DeleteFile('F:\Documents and Settings\Admin\Application Data\D.tmp');
DeleteFile('F:\WINDOWS\002935_.tmp');
DeleteFile('F:\WINDOWS\system32\og.dll');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ebrury');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kdrure');
 BC_ImportAll;  
 ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

O4 - HKCU\..\Run: [Kdrure] F:\Documents and Settings\Admin\Application Data\Kdrure.exe
O4 - HKCU\..\Run: [Ebrury] F:\Documents and Settings\Admin\Application Data\Ebrury.exe

 

 

- обновите Adobe Reader до актуальной версии

- обновите Java до актуальной версии

 

Повторите логи AVZ и RSIT, отчеты прикрепите к следующему сообщению.

+Необходим еще лог полного сканирования Malwarebytes' Anti-Malware.

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

F:\WINDOWS\System32\26.scr - файла нет

f:\windows\system32\cnab3rpk.exe - это программа принтора canon

Ответ из вирлаба(карантин отправлял утром)

1F.tmp_,

A.tmp_ - Trojan-Downloader.Win32.Genome.cjwq

ac32.exe_ - HEUR:Trojan.Win32.Generic

 

Эти файлы в настоящий момент определяются антивирусом. Обновите антивирусные базы.

 

38.tmp_,

desktop.ini,

froggy_scorebox,

pl_accounts.pl_acc,

Troll.options

 

Вредоносный код в файлах не обнаружен.

 

aadrive32.exe_,

C.tmp_ - Backdoor.Win32.IRCBot.uih

B.tmp_,

jodrive32.exe_ - Net-Worm.Win32.Kolab.aoaw

D.tmp_,

vsbntlo.exe_ - Backdoor.Win32.Floder.bmo

aadrive32.exe_ - Backdoor.Win32.IRCBot.uih

avz00001.dta,

avz00002.dta - Trojan.Win32.Buzus.icmb

avz00003.dta,

avz00004.dta,

avz00005.dta,

avz00006.dta,

avz00007.dta - Backdoor.Win32.Floder.bma

avz00008.dta - Backdoor.Win32.Floder.bmj

vsbntlo.exe_ - Backdoor.Win32.Floder.bmo

 

- обновите Adobe Reader до актуальной версии

- обновите Java до актуальной версии

Обновил.

 

Меня в логе AVZ беспокоит строка:

1.4 Поиск маскировки процессов и драйверов

>> Маскировка драйвера: Base=A916F000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"

Это что? Руткит?

 

Пришел ответ из вирлаба(отправлял сейчас):

 

Здравствуйте,

 

 

38.tmp_, bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini, bcqr00009.ini, bcqr00010.ini, bcqr00011.ini, bcqr00012.ini, bcqr00013.ini, bcqr00014.ini, bcqr00015.ini, bcqr00016.ini, bcqr00017.ini, bcqr00018.ini, og.dll

 

Вредоносный код в файлах не обнаружен.

 

D.tmp_ - Backdoor.Win32.Floder.bmo

 

Этот файл в настоящий момент определяется антивирусом.

mbam_log_2011_08_01__23_34_10_.txt

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

1.4 Поиск маскировки процессов и драйверов

>> Маскировка драйвера: Base=A916F000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"

Это что? Руткит?

вероятнее всего нет. для определения проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите к новому сообщению.

Ссылка на комментарий
Поделиться на другие сайты

alexs2011, здравствуйте.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
QuarantineFile('F:\WINDOWS\System32\26.scr','');
QuarantineFile('f:\WINDOWS\system32\shell.fne','');
QuarantineFile('f:\WINDOWS\system32\dp1.fne','');
QuarantineFile('f:\WINDOWS\system32\eAPI.fne','');
QuarantineFile('f:\WINDOWS\system32\internet.fne','');
QuarantineFile('f:\WINDOWS\system32\krnln.fnr ','');
QuarantineFile('f:\WINDOWS\system32\com.run','');
QuarantineFile('f:\WINDOWS\system32\RegEx.fnr ','');
QuarantineFile('f:\WINDOWS\system32\og.edt','');
QuarantineFile('f:\WINDOWS\system32\spec.fne','');
QuarantineFile(' f:\WINDOWS\system32\ul.dll ','');
QuarantineFile('f:\documents and settings\Admin\local settings\application data\Opera\Opera\cache\g_0008\opr00DGD.tmp','');
QuarantineFile('f:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Df2.tmp','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('f:\documents and settings\Admin\local settings\application data\Opera\Opera\cache\g_0008\opr00DGD.tmp');
DeleteFile('f:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Df2.tmp');
DeleteFile('F:\WINDOWS\System32\26.scr');
DeleteFile('f:\WINDOWS\system32\shell.fne ');
DeleteFile('f:\WINDOWS\system32\dp1.fne');
DeleteFile('f:\WINDOWS\system32\eAPI.fne');
DeleteFile('f:\WINDOWS\system32\internet.fne');
DeleteFile('f:\WINDOWS\system32\krnln.fnr ');
DeleteFile('f:\WINDOWS\system32\com.run');
DeleteFile('f:\WINDOWS\system32\RegEx.fnr ');
DeleteFile('f:\WINDOWS\system32\og.edt');
DeleteFile('f:\WINDOWS\system32\spec.fne');
DeleteFile('f:\WINDOWS\system32\ul.dll ');
DeleteFileMask('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413');
DeleteFileMask('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true);
DeleteDirectory('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013');
DeleteFileMask('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100', '*.*', true);
DeleteDirectory('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100');
DeleteFileMask('c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811', '*.*', true);
DeleteDirectory('c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811');
DeleteFileMask('f:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500', '*.*', true);
DeleteDirectory('f:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500');
RegKeyParamDel('HKEY_LOCAL_MACHINE ','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','F:\WINDOWS\System32\26.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Удалите эти файлы в MBAM. После выполнения скрипта в АВЗ некоторых строк может не остаться. После удаления откройте лог и прикрепите его к вашему сообщению.

 

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Зараженные файлы:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00001.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00002.dta (Trojan.Agent) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00003.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00004.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00005.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00006.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00007.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00008.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00009.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00010.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00011.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00012.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00013.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00014.dta (Backdoor.Bot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00015.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00016.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00017.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00018.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00019.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00020.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00021.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00022.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00023.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00024.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00025.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00026.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00027.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00028.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00029.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00030.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00031.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00032.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00033.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00034.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00035.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00036.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00037.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00038.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00039.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00040.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00041.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00042.dta (Trojan.Agent) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00043.dta (Backdoor.Bot) -> No action taken.
c:\мои документы\avz4\Infected\2011-07-31\avz00044.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\quarantine\2011-07-31\avz00002.dta (Trojan.Agent) -> No action taken.
c:\мои документы\avz4\quarantine\2011-07-31\avz00041.dta (Backdoor.IRCBot) -> No action taken.
c:\мои документы\avz4\quarantine\2011-07-31\avz00042.dta (Trojan.Agent) -> No action taken.
c:\мои документы\avz4\quarantine\2011-07-31\avz00044.dta (Backdoor.IRCBot) -> No action taken.
f:\documents and settings\Admin\local settings\application data\Opera\Opera\cache\g_0008\opr00DGD.tmp (Trojan.Agent) -> No action taken.
f:\documents and settings\all users\application data\kaspersky lab\SandBox\KLSB3\1\Device\harddiskvolume3\program files\GVDG5\BIN\CLRCPR.EXE (Trojan.Downloader) -> No action taken.
f:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Df2.tmp (Backdoor.IRCBot) -> No action taken.
f:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
f:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
f:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
f:\WINDOWS\system32\internet.fne (Trojan.Agent) -> No action taken.
f:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> No action taken.
f:\WINDOWS\system32\com.run (Trojan.Agent) -> No action taken.
f:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
f:\WINDOWS\system32\og.edt (Worm.AutoRun) -> No action taken.
f:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
f:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.

 

Проверьте на virustotal этот файл, отчет покажите.

d:\program files\Бизнес\чудо ферма.exe (Trojan.Dropper) -> No action taken.

Сами устанавливали? Удалять или нет – решать вам.

 

 

Повторите логи AVZ и RSIT, отчеты прикрепите к следующему сообщению.

 

 

Какие проблемы остались?

Ссылка на комментарий
Поделиться на другие сайты

Проверьте на virustotal этот файл, отчет покажите.

Цитата

d:\program files\Бизнес\чудо ферма.exe (Trojan.Dropper) -> No action taken.

 

Файл весит 22 мб, а на virustotal можно загружать до 20 мб. Файл удалил.

 

Какие проблемы остались?

 

Не открывается личный кабинет в opera(через IE открывает), не открывает Ifolder.ru, не загружает файлы в Letitbit.net( жду 60 секунд, появляется ссылка на скачивание файла, нажимаю на нее и ничего не происходит).

mbam_log_2011_08_02__17_51_15_.txt

info.txt

log.txt

TDSSKiller.2.5.13.0_02.08.2011_16.04.13_log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

>> Маскировка драйвера: Base=A916F000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"

Это что? Руткит?

не руткит. чистый.

http://www.virustotal.com/file-scan/report...e7b3-1312104028

Ссылка на комментарий
Поделиться на другие сайты

alexs2011, здравствуйте.

 

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('festjoox.sys','');
QuarantineFile('c:\ndo32.exe','');
QuarantineFile('F:\Documents and Settings\Admin\Application Data\Kdrure.exe','');
DeleteFile('F:\Documents and Settings\Admin\Application Data\Kdrure.exe');
DeleteFile('c:\ndo32.exe ');
DeleteFileMask(' c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500', '*.*', true);
DeleteDirectory(' c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500');
 BC_ImportAll;
 ExecuteSysClean;
BC_QrFile('festjoox.sys');
 BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

удалите эти файлы в MBAM.После выполнения скрипта в АВЗ некоторых строк может уже не быть. После удаления откройте лог и прикрепите его к вашему сообщению.

 

Зараженные файлы:
c:\ndo32.exe (Backdoor.IRCBot) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00001.dta (Backdoor.IRCBot) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00002.dta (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00003.dta (Worm.Autorun) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00004.dta (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00005.dta (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00006.dta (Worm.Autorun) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00007.dta (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00008.dta (Worm.AutoRun) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00012.dta (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00013.dta (Backdoor.IRCBot) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc18\avz00002.dta (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc18\avz00041.dta (Backdoor.IRCBot) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc18\avz00042.dta (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc18\avz00044.dta (Backdoor.IRCBot) -> No action taken.
f:\documents and settings\Admin\application data\Kdrure.exe (Backdoor.IRCBot) -> No action taken.

 

 

+Рекомендую отключить автозапуск с флэшки(со сменных носителей), т.к. это серьезная уязвимость для вашей системы.

Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите Enter. Для подтверждения перезаписи нажмите Y.

 

 

Повторите логи AVZ и RSIT, отчеты прикрепите к следующему сообщению.

 

Вы установили ВСЕ обновления на Windows? В вашем случае необходимо установить ВСЕ доступные обновления, иначе червь вернется снова.

 

По вашим проблемам еще раз отпишитесь, после выполнения всех действий.

Ссылка на комментарий
Поделиться на другие сайты

Kdrure.exe - Backdoor.Win32.Ruskill.aiq

ndo32.exe- Backdoor.Win32.Ruskill.aiq

 

Вы установили ВСЕ обновления на Windows? В вашем случае необходимо установить ВСЕ доступные обновления, иначе червь вернется снова.

 

Я установил все высокоприоритетные обновления.

 

Ifolder.ru открывает, с Letitbit.net качает, но не открывается личный кабинет в opera.

mbam_log_2011_08_03__11_05_52_.txt

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • stasmixaylovic
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • НиколайАбырвалг
      От НиколайАбырвалг
      Не получить логи работы антивирусов с удаленных рабочих станций.
      Неудобно особенно когда проблемы возникают далеко.
    • d_kid
      От d_kid
      При выборке событий "Критические события" в журнале выходят подобные ошибки:
      Статус устройства 'pc' изменился на 'Критический': Заканчивается или закончился срок действия лицензии.
      Обратил внимание, что подобные ошибки выходят у тех, у кого в лицензии-свойства-устройства Дата действителен до стоит 01.01.1970, хотя ключ распространял сразу на все машины. Как это исправить?

    • Jacob Forester
      От Jacob Forester
      Недавно обнаружил, что домен был внесён в Ваш "чёрный список". В сервисе www.virustotal.com на против Вашего антивируса отображается вирус Phishing. Я проверял сайт разными антивирусными сканерами и не смог обнаружить наличие вирусов. Прошу проверить и разблокировать домен overfrag.com. https://csi.forcepoint.com/Report/Index/89b83748-0bd0-4916-acc3-b06b016bce1e так же репорты о работе и сайта откуда изначально пошло предупреждение о фишинге, вот через вирустотал пишет что он первоисточник при этом в их базе все чисто.
       
      Сообщение от модератора thyrex Перемещено из раздела Е.К.  
    • SnakeEyes
      От SnakeEyes
      MySQL 8.0, работающий с Касперским создаёт ежедневно логи весом в 1гб, поддержка сказала что у нас происходит запись в эти логи практически каждого шороха. Вопрос в том, что мне поменять в прикреплённом файле чтобы у меня логи хранились неделю и записывались туда только важные или критические изменения.
      Новый текстовый документ.txt
×
×
  • Создать...