PlaySten Опубликовано 25 октября, 2011 Опубликовано 25 октября, 2011 Проблема с запуском txt файлов и реестра. выдает ошибку "не является приложением win32" Строгое предупреждение от модератора Mark D. Pearlstone Не выкладывайте карантин на форум. Файл удалён. .bat кстати тоже не робят и .exe) hijackthis.log virusinfo_syscure.zip virusinfo_syscure.xml virusinfo_syscure.htm
Roman_Five Опубликовано 25 октября, 2011 Опубликовано 25 октября, 2011 PlaySten, экспериментировать с вредоносами на реальной машине чревато. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; ClearHostsFile; TerminateProcessByName('c:\program files\regdoctor\regdoctor.exe'); StopService('truecrypt'); QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\Updater\ndFunctions.dll.zip',''); QuarantineFile('C:\Windows\system32\userinit.exe',''); QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys',''); QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\ndFunctions.dll',''); QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\Dlls\iPhoneImportSyncGuide.dll',''); QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\Dlls\CallHistory.dll',''); QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\COMInterop.dll',''); QuarantineFile('C:\WINDOWS.0\system32\bpk.exe',''); QuarantineFile('C:\WINDOWS.0\pchealth\helpctr\binaries\helpctr.exe',''); QuarantineFile('C:\Users\Андрей\Downloads\RxBot.zip',''); QuarantineFile('C:\Users\Андрей\Downloads\Encrypt.rar',''); QuarantineFile('C:\Users\Андрей\Downloads\Decrypters.rar',''); QuarantineFile('C:\Users\Андрей\Desktop\Крипторы\RxBot\RxBot\RxBot.exe',''); QuarantineFile('C:\Users\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar',''); QuarantineFile('C:\Documents and Settings\Андрей\Downloads\RxBot.zip',''); QuarantineFile('C:\Documents and Settings\Андрей\Downloads\Encrypt.rar',''); QuarantineFile('C:\Documents and Settings\Андрей\Downloads\Decrypters.rar',''); QuarantineFile('C:\Documents and Settings\Андрей\Desktop\Крипторы\RxBot\RxBot\RxBot.exe',''); QuarantineFile('C:\Documents and Settings\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar',''); QuarantineFile('C:\Program Files\\Windows Mail\WinMail.exe',''); QuarantineFile('C:\Windows\system32\regsvr32.exe',''); QuarantineFile('C:\Windows\System32\ie4uinit.exe',''); QuarantineFile('C:\Windows\system32\unregmp2.exe',''); QuarantineFile('C:\Windows\system32\rundll32.exe',''); QuarantineFile('C:\Windows\system32\regedit.exe',''); QuarantineFile('C:\Windows\System32\LocationNotifications.exe',''); QuarantineFile('C:\ProgramData\musqbvtkq8.exe',''); QuarantineFile('C:\Program Files\Pamela\Pamela.exe',''); QuarantineFile('C:\Windows\system32\drivers\truecrypt.sys',''); QuarantineFile('C:\Windows\system32\dllhost.exe',''); QuarantineFile('C:\Windows\System32\alg.exe',''); QuarantineFile('c:\program files\regdoctor\regdoctor.exe',''); DeleteFile('C:\ProgramData\musqbvtkq8.exe'); DeleteFile('C:\Windows\system32\regedit.exe'); DeleteFile('C:\Documents and Settings\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar'); DeleteFile('C:\Documents and Settings\Андрей\Downloads\Decrypters.rar'); DeleteFile('C:\Documents and Settings\Андрей\Downloads\Encrypt.rar'); DeleteFile('C:\Users\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar'); DeleteFile('C:\Users\Андрей\Downloads\Decrypters.rar'); DeleteFile('C:\Users\Андрей\Downloads\Encrypt.rar'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','musqbvtkq8'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: 184.168.192.9 sunke.info O1 - Hosts: 122.224.6.164 zeus.sunke.info O1 - Hosts: 173.192.170.88 domainparkingaccount.com O1 - Hosts: 173.192.170.88 www.domainparkingaccount.com O4 - HKLM\..\Run: [musqbvtkq8] C:\ProgramData\musqbvtkq8.exe O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe O13 - Gopher Prefix: После проведённого лечения рекомендуется: - обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Перед новыми логами - обязательно выполните: Необходимо провести проверку ПК, воспользовавшись одним из следующих продуктов:Kaspersky Virus Removal Tool 2011 или Dr.Web CureIt!. Сделайте новые логи по правилам. Требуются логи RSIT! + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению.
PlaySten Опубликовано 26 октября, 2011 Автор Опубликовано 26 октября, 2011 вот логи Removal tool ничего не нашел а архив с карантином не загружается. пробовал с google chrome и explorer info.txt log.txt mbam_log_2011_10_26__00_32_46_.txt
Roman_Five Опубликовано 26 октября, 2011 Опубликовано 26 октября, 2011 Сделайте новые логи по правилам. а логи AVZ где? а архив с карантином не загружается. пробовал с google chrome и explorer отправьте его на newvirus@kasperky.com Удалите в MBAM ТОЛЬКО следующие объекты: Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken. Зараженные файлы: c:\Users\Андрей\downloads\avz4\avz4\Infected\2011-10-25\avz00004.dta (Trojan.Perflog) -> No action taken. c:\Users\Андрей\downloads\avz4\avz4\Infected\2011-10-25\avz00005.dta (Monitor.Perflogger) -> No action taken. c:\Users\Андрей\downloads\avz4\avz4\Infected\2011-10-25\avz00006.dta (Monitor.PerfKeylogger) -> No action taken. c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\avz00007.dta (Monitor.Perflogger) -> No action taken. c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\avz00026.dta (Trojan.Inject) -> No action taken. c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\bcqr00015.dat (Monitor.Perflogger) -> No action taken. c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\bcqr00016.dat (Monitor.Perflogger) -> No action taken. c:\Poker\titan poker\_titanpsetup_847f37.exe (PUP.Casino) -> No action taken. c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016416.exe (Trojan.Downloader) -> No action taken. c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016417.exe (RiskWare.Tool.HCK) -> No action taken. c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016681.exe (RiskWare.Tool.CK) -> No action taken. c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016634.exe (Trojan.LDPinch) -> No action taken. c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016639.exe (Trojan.Dropper) -> No action taken. c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP28\A0018041.exe (Spyware.OnlineGames) -> No action taken. c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP7\A0013032.exe (PUP.Hacktool.Patcher) -> No action taken. c:\WINDOWS.0\system32\bpk.exe (Monitor.Perflogger) -> No action taken. c:\Windows.old\program files\relevantknowledge\rlls.dll (Adware.RelevantKnowledge) -> No action taken. c:\Windows.old\program files\relevantknowledge\rlls64.dll (Adware.RelevantKnowledge) -> No action taken. c:\Windows.old\program files\relevantknowledge\rlph.dll (Adware.RelevantKnowledge) -> No action taken. c:\Windows.old\program files\relevantknowledge\rlservice.exe (Adware.RelevantKnowledge) -> No action taken. c:\Windows.old\program files\relevantknowledge\rlvknlg.exe (Adware.RelevantKnowledge) -> No action taken. c:\Windows.old\program files\relevantknowledge\rlvknlg64.exe (Adware.RelevantKnowledge) -> No action taken. c:\Windows.old\program files\relevantknowledge\rlxf.dll (Adware.RelevantKnowledge) -> No action taken. c:\Windows.old\program files\relevantknowledge\components\rlxg.dll (Adware.RelevantKnowledge) -> No action taken. c:\Windows.old\program files\relevantknowledge\components\rlxh.dll (Adware.RelevantKnowledge) -> No action taken. c:\Windows.old\program files\relevantknowledge\components\rlxi.dll (Adware.RelevantKnowledge) -> No action taken. d:\kaspersky 2010 9.0.0.736 (a) final ®\вечный ключ\activation.exe (Trojan.Bumat) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Проверьте на virustotal.com C:\Windows\system32\MRT.exe c:\Users\Андрей\Desktop\новая папка (7)\TCryptor\TCryptor\kewlbuttonz.ocx d:\новая папка (7)\TCryptor\TCryptor\kewlbuttonz.ocx c:\Windows.old\Windows\system32\ctfmon.exe c:\Windows.old\Windows\system32\spool\patch.exe c:\Users\Андрей\Desktop\новая папка (7)\ufr_stealer_5bc75ffc14f19b899cbf190b2b125f4b6a0204f4\ufr_stealer.exe c:\Users\Андрей\downloads\fastdownload.exe d:\подозрительные файлы\ECC_7.2\ECC_52\ECC.exe d:\новая папка (7)\ufr_stealer.exe ссылки на все результаты проверки приложите.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти