azzazeeel 0 Опубликовано 3 августа, 2011 Share Опубликовано 3 августа, 2011 Здраствуйте! Если уж оказался у вас,значит вы последний шанс!Подцепил заразу со старой флэшки с фотографиями,все как в описании червя,открылась папка мои документы,и понеслось поехало.Касперский постояно выдает вирус Email-Worm.Win32.Brontok.q,жму удалить,окно вылазит повторно,жму лечить,идет перезагрузка системы. Походил по форуму,выполнил все по инструкции,до пункта 11,на нем я пробовал обычный файл запустить-перезагрузка,переименованный-результат тот же,система перезагружается.Подскажите,как быть? Заранее спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 3 августа, 2011 Share Опубликовано 3 августа, 2011 Выложите тогда пока логи AVZ virusinfo_syscheck.zip и virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
_Strannik_ 905 Опубликовано 3 августа, 2011 Share Опубликовано 3 августа, 2011 azzazeeel,Выложите сюда хотя бы логи AVZ Цитата Ссылка на сообщение Поделиться на другие сайты
azzazeeel 0 Опубликовано 3 августа, 2011 Автор Share Опубликовано 3 августа, 2011 Подскажите еще пожалуста по сканированию в AVZ,там нужно было выбирать все логические и физические диски,если их несколько?Или все по умолчанию должно быть?Я по умолчанию сканировал. virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 августа, 2011 Share Опубликовано 3 августа, 2011 azzazeeel, добро пожаловать на форум! Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\system32\atwtusb.exe'); TerminateProcessByName('c:\documents and settings\Маслобоев Дмитрий\local settings\application data\winlogon.exe'); TerminateProcessByName('c:\documents and settings\Маслобоев Дмитрий\local settings\application data\services.exe'); TerminateProcessByName('c:\documents and settings\Маслобоев Дмитрий\local settings\application data\lsass.exe'); StopService('WTService'); StopService('mv61xxmm'); StopService('mvxxmm'); QuarantineFile('C:\WINDOWS\tasks\at2.job',''); QuarantineFile('C:\WINDOWS\tasks\at1.job',''); QuarantineFile('C:\WINDOWS\kesenjangansosial.exe',''); QuarantineFile('C:\WINDOWS\system32\cpldapu\produkey.exe',''); QuarantineFile('C:\WINDOWS\system32\cmd-brontok.exe',''); QuarantineFile('C:\Documents and Settings\Маслобоев Дмитрий\Шаблоны\22848-NendangBro.com',''); QuarantineFile('Установка приложений',''); QuarantineFile('cmd-brontok.exe',''); QuarantineFile('C:\WINDOWS\KesenjanganSosial.exe',''); QuarantineFile('C:\WINDOWS\ShellNew\RakyatKelaparan.exe',''); QuarantineFile('C:\Documents and Settings\Маслобоев Дмитрий\Local Settings\Application Data\br12333on.exe',''); QuarantineFile('C:\Documents and Settings\Маслобоев Дмитрий\главное меню\программы\автозагрузка\Empty.pif',''); QuarantineFile('C:\WINDOWS\system32\atwtusb.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\mvxxmm.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\mv61xxmm.sys',''); QuarantineFile('c:\documents and settings\Маслобоев Дмитрий\local settings\application data\winlogon.exe',''); QuarantineFile('c:\documents and settings\Маслобоев Дмитрий\local settings\application data\services.exe',''); QuarantineFile('c:\documents and settings\Маслобоев Дмитрий\local settings\application data\lsass.exe',''); DeleteFile('C:\WINDOWS\tasks\at2.job'); DeleteFile('C:\WINDOWS\tasks\at1.job'); DeleteFile('c:\documents and settings\Маслобоев Дмитрий\local settings\application data\lsass.exe'); DeleteFile('c:\documents and settings\Маслобоев Дмитрий\local settings\application data\services.exe'); DeleteFile('c:\documents and settings\Маслобоев Дмитрий\local settings\application data\winlogon.exe'); DeleteFile('C:\Documents and Settings\Маслобоев Дмитрий\Local Settings\Application Data\br12333on.exe'); DeleteFile('C:\WINDOWS\KesenjanganSosial.exe'); DeleteFile('cmd-brontok.exe'); DeleteFile('C:\Documents and Settings\Маслобоев Дмитрий\Шаблоны\22848-NendangBro.com'); DeleteFile('C:\WINDOWS\system32\cmd-brontok.exe'); DeleteFile('C:\WINDOWS\kesenjangansosial.exe'); DeleteFile('C:\WINDOWS\shellnew\rakyatkelaparan.exe'); DeleteFile('C:\Documents and Settings\Маслобоев Дмитрий\главное меню\программы\автозагрузка\empty.pif'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-5655'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bron-Spizaetus'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); ExecuteRepair(8); ExecuteRepair(16); ExecuteRepair(17); ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. там нужно было выбирать все логические и физические диски,если их несколько? не важно. Цитата Ссылка на сообщение Поделиться на другие сайты
azzazeeel 0 Опубликовано 4 августа, 2011 Автор Share Опубликовано 4 августа, 2011 Искал по форуму ответ на свой вопрос,но видимо придется спросить: -"В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек)." Просто вписать virus и все?На архив пароль ставить не надо с таким названием? Цитата Ссылка на сообщение Поделиться на другие сайты
_Strannik_ 905 Опубликовано 4 августа, 2011 Share Опубликовано 4 августа, 2011 (изменено) Просто вписать virus и все?На архив пароль ставить не надо с таким названием? да,в строке описания просто написать virus. Изменено 4 августа, 2011 пользователем Stranniky Цитата Ссылка на сообщение Поделиться на другие сайты
azzazeeel 0 Опубликовано 4 августа, 2011 Автор Share Опубликовано 4 августа, 2011 Вот,новые логи! Файл карантина отправил на исследование,в тип запроса указал "запрос на исследование вредоносного файла".У вас не указано было,указал как подсказывала логика. mbam_log_2011_08_04__12_15_20_.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 августа, 2011 Share Опубликовано 4 августа, 2011 azzazeeel, ещё лог Hijackthis нужен. Цитата Ссылка на сообщение Поделиться на другие сайты
azzazeeel 0 Опубликовано 4 августа, 2011 Автор Share Опубликовано 4 августа, 2011 Вот hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 августа, 2011 Share Опубликовано 4 августа, 2011 (изменено) Проверьте на virustotal.com следующие файлы: c:\documents and settings\маслобоев дмитрий\мои документы\My Games\dungeon siege iii\dungeon siege iii.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\My Games\dungeon siege iii\save\save.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\My Games\heroes of might and magic v\hammers of fate\Profiles\Profiles.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\My Games\heroes of might and magic v\hammers of fate\Profiles\Димас\Димас.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\My Games\heroes of might and magic v\Profiles\Profiles.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\My Games\heroes of might and magic v\Profiles\Димас\Димас.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\My Games\heroes of might and magic v\Profiles\Димас\Saves\Saves.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\My Games\heroes of might and magic v — tribes of the east\Profiles\Profiles.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\My Games\heroes of might and magic v — tribes of the east\Profiles\Димас\Димас.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\My Games\kings bounty crossworlds\kings bounty crossworlds.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\My Games\kings bounty crossworlds\$save\$save.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\shift 2 unleashed\shift 2 unleashed.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\мои документы\shift 2 unleashed\profiles\profiles.exe (Malware.Gen) -> No action taken. 12 ссылок на результаты проверки приложите. Удалите в MBAM ТОЛЬКО следующие объекты: Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Worm.Brontok) -> Value: Tok-Cirrhatus -> No action taken. Зараженные папки: c:\documents and settings\администратор\local settings\application data\bron.tok-17-3 (Worm.Brontok) -> No action taken. c:\documents and settings\маслобоев дмитрий\local settings\application data\bron.tok-17-3 (Worm.Brontok) -> No action taken. c:\documents and settings\маслобоев дмитрий\local settings\application data\bron.tok-17-4 (Worm.Brontok) -> No action taken. Зараженные файлы: c:\documents and settings\администратор\local settings\application data\br9693on.exe (Malware.Gen) -> No action taken. c:\documents and settings\администратор\local settings\application data\csrss.exe (Malware.Gen) -> No action taken. c:\documents and settings\администратор\local settings\application data\inetinfo.exe (Malware.Gen) -> No action taken. c:\documents and settings\администратор\local settings\application data\lsass.exe (Malware.Gen) -> No action taken. c:\documents and settings\администратор\local settings\application data\services.exe (Malware.Gen) -> No action taken. c:\documents and settings\администратор\local settings\application data\smss.exe (Malware.Gen) -> No action taken. c:\documents and settings\администратор\local settings\application data\svchost.exe (Malware.Gen) -> No action taken. c:\documents and settings\администратор\local settings\application data\winlogon.exe (Malware.Gen) -> No action taken. c:\documents and settings\администратор\главное меню\программы\автозагрузка\Empty.pif (Malware.Gen) -> No action taken. c:\documents and settings\администратор\Шаблоны\17568-nendangbro.com (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken. c:\documents and settings\маслобоев дмитрий\local settings\application data\csrss.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\local settings\application data\inetinfo.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\local settings\application data\smss.exe (Malware.Gen) -> No action taken. c:\documents and settings\маслобоев дмитрий\local settings\application data\svchost.exe (Malware.Gen) -> No action taken. c:\WINDOWS\system32\администратор's setting.scr (Malware.Gen) -> No action taken. c:\WINDOWS\system32\маслобоев дмитрий's setting.scr (Malware.Gen) -> No action taken. c:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken. c:\WINDOWS\Temp\cf06674c-eda6-48df-b12c-f810984acf54.exe (Trojan.KillFiles) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00003.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00004.dta (PUP.PSWTool.ProductKey) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00005.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00006.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00007.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00008.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00009.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00013.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00014.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00015.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\bcqr00007.dat (PUP.PSWTool.ProductKey) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\bcqr00008.dat (PUP.PSWTool.ProductKey) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. После проведённого лечения рекомендуется: - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Изменено 4 августа, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
azzazeeel 0 Опубликовано 4 августа, 2011 Автор Share Опубликовано 4 августа, 2011 (изменено) "Проверьте на virustotal.com следующие файлы:" Вот результаты: 1)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312437791 2)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312438096 3)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312438227 4)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312438341 5)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312438502 6)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312438672 7)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312438857 8)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312439153 9)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312439030 10)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312439785 11)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312440559 12)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312441434 13)http://www.virustotal.com/file-scan/report.html?id=fd4530071cef11ab963ec4db0c46b95c75087802d790c8ddde53fc4e0c0220e5-1312441200 По МВАМ: Эти строчки отсутствовали в списке,это нормально? d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00003.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00004.dta (PUP.PSWTool.ProductKey) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00005.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00006.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00007.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00008.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00009.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00013.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00014.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\avz00015.dta (Malware.Gen) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\bcqr00007.dat (PUP.PSWTool.ProductKey) -> No action taken. d:\скаченное\новая папка\avz4\quarantine\2011-08-04\bcqr00008.dat (PUP.PSWTool.ProductKey) -> No action taken. mbam_log_2011_08_04__16_33_35_.txt Изменено 4 августа, 2011 пользователем azzazeeel Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 августа, 2011 Share Опубликовано 4 августа, 2011 Вот результаты: всё, что проверяли, удалите. это бронток. запустите AVZ -сервис - поиск файлов настройте как на скрине покажите, что будет найдено. Цитата Ссылка на сообщение Поделиться на другие сайты
azzazeeel 0 Опубликовано 4 августа, 2011 Автор Share Опубликовано 4 августа, 2011 (изменено) запустите AVZ -сервис - поиск файловнастройте как на скрине Я как понял там дату нужно сегодняшную?Я поставил сегодняшнюю,идет сканирование. Там небыло функции сохранить лог,я скопировал протокол в текстовый файл. Текстовый_документ.txt Изменено 4 августа, 2011 пользователем azzazeeel Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 августа, 2011 Share Опубликовано 4 августа, 2011 Я как понял там дату нужно сегодняшную? нет. как на скрине. 21.12.2008 Эти строчки отсутствовали в списке,это нормально? да. это карантин AVZ проверьте на virustotal.com C:\WINDOWS\Temp\powarc1200int.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.