glazyrin Опубликовано 16 января, 2012 Опубликовано 16 января, 2012 (изменено) ситуация схожая с этой http://forum.kasperskyclub.ru/index.php?showtopic=29993# avz и другие не запускались. использовал combofix. прикрепляю отчет. как до лечиться? какова вероятность, что были украдены пароли. сразу же поменял самое важное - почты, менять на всех ресурсах долго. необходимо ли? Спасибо ComboFix.txt Изменено 16 января, 2012 пользователем glazyrin
Roman_Five Опубликовано 16 января, 2012 Опубликовано 16 января, 2012 glazyrin, найдите в папке карантина combofix'a на диске С: следующие файлы от предудыщих запусков ComboFix2.txt 2012-01-15 23:27 ComboFix3.txt 2012-01-15 22:54 ComboFix4.txt 2012-01-15 22:21 приложите их. проверьте на virustotal.com файл c:\windows\system32\quartz.dll ссылку на результат проверки приложите. AVZ по-прежнему не запускается?
glazyrin Опубликовано 16 января, 2012 Автор Опубликовано 16 января, 2012 (изменено) спасибо за ответ. вот запрошеные файлы. avz работает сейчас остальное сделаю и дошлю https://www.virustotal.com/file/93fdf0b256b...sis/1326743072/ ссылка на проверенный файл ComboFix2.txt ComboFix3.txt ComboFix4.txt Изменено 16 января, 2012 пользователем glazyrin
Roman_Five Опубликовано 16 января, 2012 Опубликовано 16 января, 2012 glazyrin, где Вам писали скрипт на удаление данных файлов: FILE :: "c:\program files (x86)\Mozilla Firefox\mozutils.dll" "c:\program files (x86)\Mozilla Firefox\msvcm80.dll" "c:\program files (x86)\Mozilla Firefox\msvcp80.dll" "c:\program files (x86)\Mozilla Firefox\msvcr80.dll" "c:\users\glazyrin\AppData\Roaming\readme.exe" "c:\windows\system32\quartz.dll" "c:\windows\SysWow64\69EE.tmp" "c:\windows\SysWow64\zsybcai.dll" ?
glazyrin Опубликовано 16 января, 2012 Автор Опубликовано 16 января, 2012 ну откровенно говоря пытался заняться самолечением, анализируя ваши ответы
Roman_Five Опубликовано 16 января, 2012 Опубликовано 16 января, 2012 (изменено) Mozilla Firefox нормально работает? Вы удалили безвредные файлы... ждём логов по правилам. Содержимое папки C:\Qoobox\Quarantine заархивируйте с паролем virus и отошлите карантин через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. предположительно Ваш зловред - Backdoor.Win32.Cidox.** Изменено 16 января, 2012 пользователем Roman_Five
glazyrin Опубликовано 16 января, 2012 Автор Опубликовано 16 января, 2012 да, мазила благополучно сдох вот логи. Содержимое папки C:\Qoobox\Quarantine отправил hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
Roman_Five Опубликовано 16 января, 2012 Опубликовано 16 января, 2012 да, мазила благополучно сдох переустановите. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; QuarantineFile('c:\users\glazyrin\AppData\Roaming\syg.exe',''); QuarantineFile('C:\Team17\Worms Armageddon\wkModules\wkShopperDoubleSpace.dll',''); DeleteFile('c:\users\glazyrin\AppData\Roaming\syg.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R3 - URLSearchHook: (no name) - - (no file) После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Деинсталлируйте ComboFix: - нажмите Win+R - в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Сделайте новые логи RSIT по правилам.
glazyrin Опубликовано 16 января, 2012 Автор Опубликовано 16 января, 2012 вылазит вот такая фигня при запуске RSIT
Roman_Five Опубликовано 17 января, 2012 Опубликовано 17 января, 2012 скачайте с другой ссылки. сохраните. запустите от имени администратора. что с ошибкой?
glazyrin Опубликовано 17 января, 2012 Автор Опубликовано 17 января, 2012 перепробовал разные источники, пробовал и 64 и 32, все запускал от имени администратора, антивирус отключал. все тоже самое.
Roman_Five Опубликовано 17 января, 2012 Опубликовано 17 января, 2012 сделайте логи DDS http://safezone.cc/forum/showthread.php?t=11027
glazyrin Опубликовано 17 января, 2012 Автор Опубликовано 17 января, 2012 после 19 по москве смогу. сейчас на работе
Roman_Five Опубликовано 17 января, 2012 Опубликовано 17 января, 2012 всё чисто. обновите антивирусные базы Avira вручную удалите папку C:\hKyi0BhTlzPznui выполните в AVZ 6 стандартный скрипт. ответов по карантинам не было?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти