Molotok180 0 Опубликовано 3 декабря, 2011 Share Опубликовано 3 декабря, 2011 Такая проблема - выкидывает из мозиллы почти сразу после начала работы, также иногда выкидывается из торрент-клиентов, антивируса, и др. программ. Сканирование обновленными KIS и Cure It ничего не дало. Заранее спасибо за помощь! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 декабря, 2011 Share Опубликовано 3 декабря, 2011 Molotok180, добро пожаловать на форум! Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('URVUSQN', 4); QuarantineFile('C:\Documents and Settings\Саша\Application Data\samson\*.*',''); QuarantineFile('C:\PROGRA~1\COMMON~1\SYSTEM\MSMAPI\1049\MSMAPI32.DLL',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\donirimlon.dat',''); QuarantineFile('C:\DOCUME~1\8CE5~1\LOCALS~1\Temp\URVUSQN.exe',''); DeleteFile('C:\DOCUME~1\8CE5~1\LOCALS~1\Temp\URVUSQN.exe'); DeleteFileMask('C:\Documents and Settings\Саша\Application Data\samson\ ','*.* ',true ,' '); DeleteDirectory('C:\Documents and Settings\Саша\Application Data\samson\ ',' '); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\donirimlon.dat'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SENS\Parameters','ServiceDll'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\SENS\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\sens.dll'); DeleteService('URVUSQN'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net R3 - URLSearchHook: (no name) - - (no file) O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file) O9 - Extra button: &Связанные заметки OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) O9 - Extra 'Tools' menuitem: &Связанные заметки OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) После проведённого лечения рекомендуется: - обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. Не забудьте про лог RSIT! + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup-<current number>.exe Обновите базы. После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить"). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Molotok180 0 Опубликовано 3 декабря, 2011 Автор Share Опубликовано 3 декабря, 2011 Выполните скрипт в AVZ Сделано! Отправьте на проверку файл Quarantine.zip Вредоносный код в файлах не обнаружен. donirimlon.dat Файл в процессе обработки. Пофиксите в HijackThis Сделано! Сделайте новые логи по правилам.Не забудьте про лог RSIT! Готово! Скачайте Malwarebytes' Anti-Malware здесь или здесь.Полученный лог прикрепите к сообщению. Готово! virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt mbam_log_2011_12_03__21_24_21_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 декабря, 2011 Share Опубликовано 3 декабря, 2011 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\lifol46in.dat',''); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); BC_QrFile('C:\WINDOWS\system32\lifol46in.dat'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. После проведённого лечения рекомендуется: - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Удалите в MBAM только следующие объекты: Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken. HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe (Trojan.Agent) -> Value: ctfmon.exe -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. Зараженные папки: c:\documents and settings\Саша\application data\FieryAds (Adware.FieryAds) -> No action taken. c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken. Зараженные файлы: c:\documents and settings\Саша\application data\FieryAds\fieryadsuninstall.exe (Adware.FieryAds) -> No action taken. c:\documents and settings\Саша\application data\fieryads.dat (Adware.FieryAds) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Проверьте на virustotal.com следующие файлы: c:\downloads\Архивы\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> No action taken. c:\downloads\Архивы\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> No action taken. c:\downloads\Архивы\Phx_data\Res\RICO.exe (Backdoor.Bot) -> No action taken. c:\downloads\Архивы\Phx_data\Res\ss.exe (Backdoor.Bot) -> No action taken. 4 ссылки на результаты проверки приложите. Сделайте новые логи по правилам. Изменено 3 декабря, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Molotok180 0 Опубликовано 4 декабря, 2011 Автор Share Опубликовано 4 декабря, 2011 Сделано. bcqr00001.dat, lifol46in.dat Файлы в процессе обработки. Файлы проверять не стал, просто удалил программу(т.к не нужна). Высылаю логи. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt mbam_log_2011_12_04__10_45_00_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 декабря, 2011 Share Опубликовано 4 декабря, 2011 Деинсталлируйте MBAM После проведённого лечения рекомендуется:- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) в третий раз рекомендую обновить устаревший софт Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить >> Таймаут завершения служб находится за пределами допустимых значений Выполните скрипт в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE'); RebootWindows(false); end. Сделайте новый лог RSIT Будет повторный ответ по второму карантину - сообщите Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.