alexs2011 0 Опубликовано 30 июля, 2011 Share Опубликовано 30 июля, 2011 Не могли бы вы проверить логи? Подозреваю заражение. kis 12 нашел вирусы после создания логов, комп перезагрузился и теперь антивирус не запускается и сайт http://www.kaspersky.ru/ не доступен. Строгое предупреждение от модератора INC® Файл карантина удален. Нужен файл virusinfo_syscure.zip, а не virusinfo_cure.zip hijackthis.log virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 30 июля, 2011 Share Опубликовано 30 июля, 2011 alexs2011, здравствуйте. Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('f:\documents and settings\admin\application data\7.tmp'); TerminateProcessByName('f:\windows\aadrive32.exe'); QuarantineFile('f:\documents and settings\admin\application data\7.tmp',''); QuarantineFile('F:\WINDOWS\aadrive32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('F:\WINDOWS\system32\72.exe',''); QuarantineFile('F:\WINDOWS\system32\55.exe',''); QuarantineFile('F:\WINDOWS\system32\33.exe',''); QuarantineFile('F:\WINDOWS\system32\14.exe',''); QuarantineFile('F:\WINDOWS\system32\01.exe',''); QuarantineFile('f:\windows\system32\cnab3rpk.exe',''); QuarantineFile('F:\WINDOWS\system32\csrcs.exe',''); DeleteFile('f:\documents and settings\admin\application data\7.tmp'); DeleteFile('f:\windows\aadrive32.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('F:\WINDOWS\system32\01.exe'); DeleteFile('F:\WINDOWS\system32\14.exe'); DeleteFile('F:\WINDOWS\system32\33.exe'); DeleteFile('F:\WINDOWS\system32\55.exe'); DeleteFile('F:\WINDOWS\system32\72.exe'); DeleteFile('F:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать O4 - HKLM\..\Run: [Microsoft Driver Setup] F:\WINDOWS\aadrive32.exe O4 - HKCU\..\Run: [Tnaww] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe O4 - HKLM\..\Policies\Explorer\Run: [csrcs] F:\WINDOWS\system32\csrcs.exe O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] F:\WINDOWS\aadrive32.exe Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена Установите SP3 (может потребоваться активация) + все новые обновления для Windows Установите Internet Explorer 8 (даже если им не пользуетесь) Обязательно для выполнения, т.к. у вас заражение сетевым червем! Sakhatelecom ваш провайдер? +Сделайте новые логи AVZ + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. + Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
alexs2011 0 Опубликовано 31 июля, 2011 Автор Share Опубликовано 31 июля, 2011 Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Личный кабинет не открывается. Может отправить карантин вам? Sakhatelecom ваш провайдер? Да Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена Установите SP3 (может потребоваться активация) + все новые обновления для Windows Установите Internet Explorer 8 (даже если им не пользуетесь) Поставлю вечером Лог Malwarebytes' Anti-Malware virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt mbam_log_2011_07_31__12_18_34_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 31 июля, 2011 Share Опубликовано 31 июля, 2011 Поставлю вечером ставьте как можно скорее, иначе лечение не закончится никогда. у Вас повторное заражение. Личный кабинет не открывается. а так? https://38.117.98.238/ru/ Цитата Ссылка на сообщение Поделиться на другие сайты
alexs2011 0 Опубликовано 31 июля, 2011 Автор Share Опубликовано 31 июля, 2011 Сейчас поставлю. Так личный кабинет тоже не открывается. Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 31 июля, 2011 Share Опубликовано 31 июля, 2011 Логи надо делать после установки всех заплаток, а иначе от лечения толка не будет. Цитата Ссылка на сообщение Поделиться на другие сайты
alexs2011 0 Опубликовано 1 августа, 2011 Автор Share Опубликовано 1 августа, 2011 Все обновил. Отправил Карантин через личный кабинет. Вот логи. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 августа, 2011 Share Опубликовано 1 августа, 2011 (изменено) Здравствуйте. Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата. Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме F:\WINDOWS\System32\26.scrf:\windows\system32\cnab3rpk.exe Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; QuarantineFile('F:\Documents and Settings\Admin\Application Data\Kdrure.exe',''); QuarantineFile('F:\Documents and Settings\Admin\Application Data\Ebrury.exe',''); QuarantineFile('F:\Documents and Settings\Admin\Application Data\A.tmp',''); QuarantineFile('F:\Documents and Settings\Admin\Application Data\1F.tmp',''); QuarantineFile('F:\WINDOWS\System32\26.scr',''); QuarantineFile('F:\Documents and Settings\Admin\Application Data\38.tmp',''); QuarantineFile('F:\Documents and Settings\Admin\Application Data\D.tmp',''); QuarantineFile('F:\WINDOWS\002935_.tmp',''); QuarantineFile('F:\WINDOWS\system32\og.dll',''); DeleteFile('F:\Documents and Settings\Admin\Application Data\Ebrury.exe'); DeleteFile('F:\Documents and Settings\Admin\Application Data\Kdrure.exe'); DeleteFile('F:\Documents and Settings\Admin\Application Data\1F.tmp'); DeleteFile('F:\Documents and Settings\Admin\Application Data\A.tmp'); DeleteFile('F:\Documents and Settings\Admin\Application Data\38.tmp'); DeleteFile('F:\Documents and Settings\Admin\Application Data\D.tmp'); DeleteFile('F:\WINDOWS\002935_.tmp'); DeleteFile('F:\WINDOWS\system32\og.dll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ebrury'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kdrure'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать O4 - HKCU\..\Run: [Kdrure] F:\Documents and Settings\Admin\Application Data\Kdrure.exe O4 - HKCU\..\Run: [Ebrury] F:\Documents and Settings\Admin\Application Data\Ebrury.exe - обновите Adobe Reader до актуальной версии - обновите Java до актуальной версии Повторите логи AVZ и RSIT, отчеты прикрепите к следующему сообщению. +Необходим еще лог полного сканирования Malwarebytes' Anti-Malware. Изменено 1 августа, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
alexs2011 0 Опубликовано 1 августа, 2011 Автор Share Опубликовано 1 августа, 2011 F:\WINDOWS\System32\26.scr - файла нет f:\windows\system32\cnab3rpk.exe - это программа принтора canon Ответ из вирлаба(карантин отправлял утром) 1F.tmp_, A.tmp_ - Trojan-Downloader.Win32.Genome.cjwq ac32.exe_ - HEUR:Trojan.Win32.Generic Эти файлы в настоящий момент определяются антивирусом. Обновите антивирусные базы. 38.tmp_, desktop.ini, froggy_scorebox, pl_accounts.pl_acc, Troll.options Вредоносный код в файлах не обнаружен. aadrive32.exe_, C.tmp_ - Backdoor.Win32.IRCBot.uih B.tmp_, jodrive32.exe_ - Net-Worm.Win32.Kolab.aoaw D.tmp_, vsbntlo.exe_ - Backdoor.Win32.Floder.bmo aadrive32.exe_ - Backdoor.Win32.IRCBot.uih avz00001.dta, avz00002.dta - Trojan.Win32.Buzus.icmb avz00003.dta, avz00004.dta, avz00005.dta, avz00006.dta, avz00007.dta - Backdoor.Win32.Floder.bma avz00008.dta - Backdoor.Win32.Floder.bmj vsbntlo.exe_ - Backdoor.Win32.Floder.bmo - обновите Adobe Reader до актуальной версии - обновите Java до актуальной версии Обновил. Меня в логе AVZ беспокоит строка: 1.4 Поиск маскировки процессов и драйверов >> Маскировка драйвера: Base=A916F000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS" Это что? Руткит? Пришел ответ из вирлаба(отправлял сейчас): Здравствуйте, 38.tmp_, bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini, bcqr00009.ini, bcqr00010.ini, bcqr00011.ini, bcqr00012.ini, bcqr00013.ini, bcqr00014.ini, bcqr00015.ini, bcqr00016.ini, bcqr00017.ini, bcqr00018.ini, og.dll Вредоносный код в файлах не обнаружен. D.tmp_ - Backdoor.Win32.Floder.bmo Этот файл в настоящий момент определяется антивирусом. mbam_log_2011_08_01__23_34_10_.txt info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 1 августа, 2011 Share Опубликовано 1 августа, 2011 1.4 Поиск маскировки процессов и драйверов>> Маскировка драйвера: Base=A916F000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS" Это что? Руткит? вероятнее всего нет. для определения проверьте компьютер утилитой TDSSkiller из данной статьи. http://support.kaspersky.ru/faq/?qid=208639606 Полученный лог из корня диска С приложите к новому сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 августа, 2011 Share Опубликовано 1 августа, 2011 alexs2011, здравствуйте. Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; QuarantineFile('F:\WINDOWS\System32\26.scr',''); QuarantineFile('f:\WINDOWS\system32\shell.fne',''); QuarantineFile('f:\WINDOWS\system32\dp1.fne',''); QuarantineFile('f:\WINDOWS\system32\eAPI.fne',''); QuarantineFile('f:\WINDOWS\system32\internet.fne',''); QuarantineFile('f:\WINDOWS\system32\krnln.fnr ',''); QuarantineFile('f:\WINDOWS\system32\com.run',''); QuarantineFile('f:\WINDOWS\system32\RegEx.fnr ',''); QuarantineFile('f:\WINDOWS\system32\og.edt',''); QuarantineFile('f:\WINDOWS\system32\spec.fne',''); QuarantineFile(' f:\WINDOWS\system32\ul.dll ',''); QuarantineFile('f:\documents and settings\Admin\local settings\application data\Opera\Opera\cache\g_0008\opr00DGD.tmp',''); QuarantineFile('f:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Df2.tmp',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('f:\documents and settings\Admin\local settings\application data\Opera\Opera\cache\g_0008\opr00DGD.tmp'); DeleteFile('f:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Df2.tmp'); DeleteFile('F:\WINDOWS\System32\26.scr'); DeleteFile('f:\WINDOWS\system32\shell.fne '); DeleteFile('f:\WINDOWS\system32\dp1.fne'); DeleteFile('f:\WINDOWS\system32\eAPI.fne'); DeleteFile('f:\WINDOWS\system32\internet.fne'); DeleteFile('f:\WINDOWS\system32\krnln.fnr '); DeleteFile('f:\WINDOWS\system32\com.run'); DeleteFile('f:\WINDOWS\system32\RegEx.fnr '); DeleteFile('f:\WINDOWS\system32\og.edt'); DeleteFile('f:\WINDOWS\system32\spec.fne'); DeleteFile('f:\WINDOWS\system32\ul.dll '); DeleteFileMask('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413', '*.*', true); DeleteDirectory('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413'); DeleteFileMask('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true); DeleteDirectory('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013'); DeleteFileMask('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100', '*.*', true); DeleteDirectory('c:\RECYCLER\kos-2-3-41-0000010000-0000010000-0000010000-0100'); DeleteFileMask('c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811', '*.*', true); DeleteDirectory('c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811'); DeleteFileMask('f:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500', '*.*', true); DeleteDirectory('f:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500'); RegKeyParamDel('HKEY_LOCAL_MACHINE ','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','F:\WINDOWS\System32\26.scr'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Удалите эти файлы в MBAM. После выполнения скрипта в АВЗ некоторых строк может не остаться. После удаления откройте лог и прикрепите его к вашему сообщению. Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. Зараженные файлы: c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00001.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00002.dta (Trojan.Agent) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00003.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00004.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00005.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00006.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00007.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00008.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00009.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00010.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00011.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00012.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00013.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00014.dta (Backdoor.Bot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00015.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00016.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00017.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00018.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00019.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00020.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00021.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00022.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00023.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00024.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00025.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00026.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00027.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00028.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00029.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00030.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00031.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00032.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00033.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00034.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00035.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00036.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00037.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00038.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00039.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00040.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00041.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00042.dta (Trojan.Agent) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00043.dta (Backdoor.Bot) -> No action taken. c:\мои документы\avz4\Infected\2011-07-31\avz00044.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\quarantine\2011-07-31\avz00002.dta (Trojan.Agent) -> No action taken. c:\мои документы\avz4\quarantine\2011-07-31\avz00041.dta (Backdoor.IRCBot) -> No action taken. c:\мои документы\avz4\quarantine\2011-07-31\avz00042.dta (Trojan.Agent) -> No action taken. c:\мои документы\avz4\quarantine\2011-07-31\avz00044.dta (Backdoor.IRCBot) -> No action taken. f:\documents and settings\Admin\local settings\application data\Opera\Opera\cache\g_0008\opr00DGD.tmp (Trojan.Agent) -> No action taken. f:\documents and settings\all users\application data\kaspersky lab\SandBox\KLSB3\1\Device\harddiskvolume3\program files\GVDG5\BIN\CLRCPR.EXE (Trojan.Downloader) -> No action taken. f:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Df2.tmp (Backdoor.IRCBot) -> No action taken. f:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken. f:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken. f:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken. f:\WINDOWS\system32\internet.fne (Trojan.Agent) -> No action taken. f:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> No action taken. f:\WINDOWS\system32\com.run (Trojan.Agent) -> No action taken. f:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken. f:\WINDOWS\system32\og.edt (Worm.AutoRun) -> No action taken. f:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken. f:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken. Проверьте на virustotal этот файл, отчет покажите. d:\program files\Бизнес\чудо ферма.exe (Trojan.Dropper) -> No action taken. Сами устанавливали? Удалять или нет – решать вам. Повторите логи AVZ и RSIT, отчеты прикрепите к следующему сообщению. Какие проблемы остались? Цитата Ссылка на сообщение Поделиться на другие сайты
alexs2011 0 Опубликовано 2 августа, 2011 Автор Share Опубликовано 2 августа, 2011 Проверьте на virustotal этот файл, отчет покажите. Цитата d:\program files\Бизнес\чудо ферма.exe (Trojan.Dropper) -> No action taken. Файл весит 22 мб, а на virustotal можно загружать до 20 мб. Файл удалил. Какие проблемы остались? Не открывается личный кабинет в opera(через IE открывает), не открывает Ifolder.ru, не загружает файлы в Letitbit.net( жду 60 секунд, появляется ссылка на скачивание файла, нажимаю на нее и ничего не происходит). mbam_log_2011_08_02__17_51_15_.txt info.txt log.txt TDSSKiller.2.5.13.0_02.08.2011_16.04.13_log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 августа, 2011 Share Опубликовано 2 августа, 2011 >> Маскировка драйвера: Base=A916F000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"Это что? Руткит? не руткит. чистый. http://www.virustotal.com/file-scan/report...e7b3-1312104028 Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 2 августа, 2011 Share Опубликовано 2 августа, 2011 alexs2011, здравствуйте. • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; QuarantineFile('festjoox.sys',''); QuarantineFile('c:\ndo32.exe',''); QuarantineFile('F:\Documents and Settings\Admin\Application Data\Kdrure.exe',''); DeleteFile('F:\Documents and Settings\Admin\Application Data\Kdrure.exe'); DeleteFile('c:\ndo32.exe '); DeleteFileMask(' c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500', '*.*', true); DeleteDirectory(' c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500'); BC_ImportAll; ExecuteSysClean; BC_QrFile('festjoox.sys'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. удалите эти файлы в MBAM.После выполнения скрипта в АВЗ некоторых строк может уже не быть. После удаления откройте лог и прикрепите его к вашему сообщению. Зараженные файлы: c:\ndo32.exe (Backdoor.IRCBot) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00001.dta (Backdoor.IRCBot) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00002.dta (Worm.AutoRun) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00003.dta (Worm.Autorun) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00004.dta (Worm.AutoRun) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00005.dta (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00006.dta (Worm.Autorun) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00007.dta (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00008.dta (Worm.AutoRun) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00012.dta (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc17\avz00013.dta (Backdoor.IRCBot) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc18\avz00002.dta (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc18\avz00041.dta (Backdoor.IRCBot) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc18\avz00042.dta (Trojan.Agent) -> No action taken. c:\RECYCLER\s-1-5-21-527237240-2111687655-725345543-500\Dc18\avz00044.dta (Backdoor.IRCBot) -> No action taken. f:\documents and settings\Admin\application data\Kdrure.exe (Backdoor.IRCBot) -> No action taken. +Рекомендую отключить автозапуск с флэшки(со сменных носителей), т.к. это серьезная уязвимость для вашей системы. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду: REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 Нажмите Enter. Для подтверждения перезаписи нажмите Y. Повторите логи AVZ и RSIT, отчеты прикрепите к следующему сообщению. Вы установили ВСЕ обновления на Windows? В вашем случае необходимо установить ВСЕ доступные обновления, иначе червь вернется снова. По вашим проблемам еще раз отпишитесь, после выполнения всех действий. Цитата Ссылка на сообщение Поделиться на другие сайты
alexs2011 0 Опубликовано 3 августа, 2011 Автор Share Опубликовано 3 августа, 2011 Kdrure.exe - Backdoor.Win32.Ruskill.aiq ndo32.exe- Backdoor.Win32.Ruskill.aiq Вы установили ВСЕ обновления на Windows? В вашем случае необходимо установить ВСЕ доступные обновления, иначе червь вернется снова. Я установил все высокоприоритетные обновления. Ifolder.ru открывает, с Letitbit.net качает, но не открывается личный кабинет в opera. mbam_log_2011_08_03__11_05_52_.txt info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.