qwect Опубликовано 23 сентября, 2011 Опубликовано 23 сентября, 2011 Здравствуйте, помогите, пожалуйста. Выкладываю стандартные логи. Лечился "онлине сканером от Касперского". Использую антивирус "авира". Постоянно что-то находит, появилось подозрение, что он попросту не может справиться. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
Tiare Опубликовано 23 сентября, 2011 Опубликовано 23 сентября, 2011 qwect, здравствуйте. Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Users\Аlina\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll',''); QuarantineFile('c:\matlab701\webserver\bin\win32\matlabserver.exe',''); QuarantineFile('\\?\C:\ProgramData\Microsoft\Windows\DRM\Cache\Indiv_SID_S-1-5-20\Indiv01.key',''); QuarantineFile('c:\program files\yota\yota access\yotaaccessservice.exe',''); QuarantineFile('c:\matlab701\bin\win32\matlab.exe',''); QuarantineFile('c:\programdata\readers digest\eng20s.exe',''); QuarantineFile('C:\Users\Аlina\Downloads\Фотография\+Кино\UncleRus. Домашнее видео v0.7.chm',''); QuarantineFile('C:\Documents and Settings\Аlina\Downloads\Фотография\+Кино\UncleRus. Домашнее видео v0.7.chm',''); QuarantineFile('C:\windows\System32\drivers\haus.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R3 - URLSearchHook: (no name) - - (no file) Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. C:\windows\System32\drivers\haus.sys C:\Users\Аlina\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll c:\programdata\readers digest\eng20s.exe c:\matlab701\bin\win32\matlab.exe c:\program files\yota\yota access\yotaaccessservice.exe C:\ProgramData\Microsoft\Windows\DRM\Cache\Indiv_SID_S-1-5-20\Indiv01.key c:\matlab701\webserver\bin\win32\matlabserver.exe C:\Users\Аlina\Downloads\Фотография\+Кино\UncleRus. Домашнее видео v0.7.chm C:\Documents and Settings\Аlina\Downloads\Фотография\+Кино\UncleRus. Домашнее видео v0.7.chm Установите Internet Explorer 9 (даже если им не пользуетесь) У вас установлена Malwarebytes' Anti-Malware обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. + Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Какие у вас проблемы?
qwect Опубликовано 26 сентября, 2011 Автор Опубликовано 26 сентября, 2011 Не запускается "Безопасный режим" Фаил Quarantine.zip слишком большой (приложил Print Screen), попытался разбить на 3 части, отправил, но ответ не пришёл. Hijackthis после запуска выдаёт окно со списком, не было окна с предложением "Do a system scan only", прикрепил лог. Проверил указанные файлы на virustotal, все "чистые", прошу прошения, но "txtшник" с ними дома , пришлю вечером, если требуется. Прикрепил лог mbam и логи RSIT. В "рабочей" папке (там, где храню программы по Вашей рекомендации: Avz, Hijackthis и т.д.) появилась папка backups. Содержимое и просмотр одного из файлов высылаю. Это от Hijackthis? Видимо я "профиксил" не так, как надо. hijackthis_after_fixing.txt mbam_log_2011_09_24__17_05_50_.txt info.txt log.txt
Tiare Опубликовано 26 сентября, 2011 Опубликовано 26 сентября, 2011 В логах - чисто. Ссылки на результат проверки файлов приложите, пожалуйста, особенно C:\Users\Аlina\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll Обязательно деинсталлируйте MBAM! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. - Установите Internet Explorer 9 (даже если им не пользуетесь) - обновите Java до актуальной версии - обновите Adobe Reader до актуальной версии >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end. Не запускается "Безопасный режим" Выходит сообщение об ошибке?
qwect Опубликовано 26 сентября, 2011 Автор Опубликовано 26 сентября, 2011 Если не ошибаюсь, то фаил qstatsrv.dll пропал после лога в Avz, поточнее вечером напишу. Java и Adobe Reader уже скачал вечером установлю. У той машины небезлимитный интернет через GPRS модем, поэтому так. И следовательно IE9 сложно будет установить. Есть ли фаил для автономной установки? Такая же проблема с Adobe Readerом. MBAM деинсталирую. Цитата>> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Я останавливаю и отключаю службу "Определение оборудования оболочки", просто Avz её "восстанавливает". Скрипт тоже подойдёт, спасибо. Сообщения об ощибке нет, просто "уходит в перезагрузку" в обычный режим. Или я его не замечаю, быстро проскакивает. В "журнале" не фиксируется. Что делать с файлом Quarantine.zip? "Профиксил" верно?
Tiare Опубликовано 26 сентября, 2011 Опубликовано 26 сентября, 2011 (изменено) Ссылку заменила на закачку IE http://windows.microsoft.com/ru-RU/interne...dwide-languages Что делать с файлом Quarantine.zip?"Профиксил" верно? Можете удалять. Пофиксили верно) скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. создайте новую контрольную точку восстановления и очистите заражённую Сообщения об ощибке нет, просто "уходит в перезагрузку" в обычный режим. Или я его не замечаю, быстро проскакивает.В "журнале" не фиксируется. Почитайте http://support.kaspersky.ru/faq/?qid=180593101 Изменено 26 сентября, 2011 пользователем Tiare
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти