Вирус. Не запускаются программы

[glazyrin]

ситуация схожая с этой http://forum.kasperskyclub.ru/index.php?showtopic=29993# avz и другие не запускались. использовал combofix. прикрепляю отчет. как до лечиться?

 

какова вероятность, что были украдены пароли. сразу же поменял самое важное - почты, менять на всех ресурсах долго. необходимо ли?

Спасибо

ComboFix.txt

Изменено 16 января, 2012 пользователем glazyrin

[Roman_Five]

glazyrin,

найдите в папке карантина combofix'a на диске С: следующие файлы от предудыщих запусков

ComboFix2.txt  2012-01-15 23:27
ComboFix3.txt  2012-01-15 22:54
ComboFix4.txt  2012-01-15 22:21

приложите их.

 

проверьте на virustotal.com файл

c:\windows\system32\quartz.dll

ссылку на результат проверки приложите.

 

AVZ по-прежнему не запускается?

[glazyrin]

спасибо за ответ.

вот запрошеные файлы.

 

avz работает

сейчас остальное сделаю и дошлю

 

 

 

https://www.virustotal.com/file/93fdf0b256b...sis/1326743072/

 

ссылка на проверенный файл

ComboFix2.txt

ComboFix3.txt

ComboFix4.txt

Изменено 16 января, 2012 пользователем glazyrin

[Roman_Five]

glazyrin,

где Вам писали скрипт на удаление данных файлов:

FILE ::
"c:\program files (x86)\Mozilla Firefox\mozutils.dll"
"c:\program files (x86)\Mozilla Firefox\msvcm80.dll"
"c:\program files (x86)\Mozilla Firefox\msvcp80.dll"
"c:\program files (x86)\Mozilla Firefox\msvcr80.dll"
"c:\users\glazyrin\AppData\Roaming\readme.exe"
"c:\windows\system32\quartz.dll"
"c:\windows\SysWow64\69EE.tmp"
"c:\windows\SysWow64\zsybcai.dll"

 

?

[glazyrin]

ну откровенно говоря пытался заняться самолечением, анализируя ваши ответы

[Roman_Five]

Mozilla Firefox нормально работает?

Вы удалили безвредные файлы...

ждём логов по правилам.

 

 

Содержимое папки C:\Qoobox\Quarantine заархивируйте с паролем virus и отошлите карантин через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

предположительно Ваш зловред - Backdoor.Win32.Cidox.**

Изменено 16 января, 2012 пользователем Roman_Five

[glazyrin]

да, мазила благополучно сдох

 

вот логи.

 

Содержимое папки C:\Qoobox\Quarantine отправил

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

да, мазила благополучно сдох

переустановите.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('c:\users\glazyrin\AppData\Roaming\syg.exe','');
QuarantineFile('C:\Team17\Worms Armageddon\wkModules\wkShopperDoubleSpace.dll','');
DeleteFile('c:\users\glazyrin\AppData\Roaming\syg.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) -  - (no file)

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Деинсталлируйте ComboFix:

- нажмите Win+R

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Сделайте новые логи RSIT по правилам.

[glazyrin]

 

вылазит вот такая фигня при запуске RSIT

[Roman_Five]

скачайте с другой ссылки. сохраните. запустите от имени администратора. что с ошибкой?

[glazyrin]

перепробовал разные источники, пробовал и 64 и 32, все запускал от имени администратора, антивирус отключал. все тоже самое.

[Roman_Five]

сделайте логи DDS

 

http://safezone.cc/forum/showthread.php?t=11027

[glazyrin]

после 19 по москве смогу. сейчас на работе

[glazyrin]

вот

Attach.txt

DDS.txt

[Roman_Five]

всё чисто.

 

обновите антивирусные базы Avira

 

вручную удалите папку C:\hKyi0BhTlzPznui

 

выполните в AVZ 6 стандартный скрипт.

 

ответов по карантинам не было?