HarleyDavidson 1 Опубликовано 6 февраля, 2012 Share Опубликовано 6 февраля, 2012 Доброго времени суток. Вирусы поразили компьютер. Не дают жить нормально. Уповаю на Вашу помошь! За ранее спасибо info.txt log.txt virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 6 февраля, 2012 Share Опубликовано 6 февраля, 2012 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." Внимание ! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Обновите базы AVZ и переделайте логи AVZ Логи приложите. Цитата Ссылка на сообщение Поделиться на другие сайты
HarleyDavidson 1 Опубликовано 6 февраля, 2012 Автор Share Опубликовано 6 февраля, 2012 (изменено) Вот, сделал как Вы и просили. Только получилось что то непонятное. На диске C:\ (системный) не отображаются файлы и папки. virusinfo_syscure.zip comboFix.txt Изменено 6 февраля, 2012 пользователем HarleyDavidson Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 6 февраля, 2012 Share Опубликовано 6 февраля, 2012 • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\xtgina.dll',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ePa5OYqWo3w.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\8aefdf3f-82dc-462e-be91-2ca1c43911cf\CliSecureRT.dll',''); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\8aefdf3f-82dc-462e-be91-2ca1c43911cf\CliSecureRT.dll'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ePa5OYqWo3w.exe'); DeleteFileMask('C:\7a6vHav3hoNDlNF', '*.*', true); DeleteFileMask('C:\hb7Kpo9I7YTx3LT', '*.*', true); DeleteDirectory('C:\7a6vHav3hoNDlNF'); DeleteDirectory('C:\hb7Kpo9I7YTx3LT'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После всех процедур выполните скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Пожалуйста, подготовить новые логи с АВЗ и RSIT...! Пожалуйста, скачайте SystemLook от одной из ссылок ниже, и сохраните его на рабочем столе. Download Mirror #1 Download Mirror #2 Дважды щелкните SystemLook.exe для его запуска. Скопируйте содержимое из следующих CodeBox в основном текстовом поле: :filefind *winscard* Нажмите кнопку Look, чтобы начать проверку. После завершения откроется блокнот с результатами проверки. Просим Вас присылать этот журнал в следующий ответ. Цитата Ссылка на сообщение Поделиться на другие сайты
HarleyDavidson 1 Опубликовано 7 февраля, 2012 Автор Share Опубликовано 7 февраля, 2012 (изменено) Сообщение от модератора thyrex Не нужно полностью цитировать предыдущее сообщение Спасибо вам большое за Ваше терпение. Очень благодарен Вам что не оставили без внимания. Отправил файл карантина, ответ еще не получил. Вот прикрепляю все вышеуказанные файлы. Извиняюсь. Что то я тормознул. Вот добавляю недостающие файлы. SystemLook.txt log.txt virusinfo_syscure.zip mbam_log_2012_02_07__09_55_32_.txt virusinfo_syscheck.zip Изменено 7 февраля, 2012 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 7 февраля, 2012 Share Опубликовано 7 февраля, 2012 Здравствуйте. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. выполнили? Отчет прикрепите. + нет отчета virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
HarleyDavidson 1 Опубликовано 7 февраля, 2012 Автор Share Опубликовано 7 февраля, 2012 (изменено) Здравствуйте. выполнили? Отчет прикрепите. + нет отчета virusinfo_syscheck.zip В предыдущий пост добавил недостающие файлы. Надеюсь они Вам о чем то скажут. Спасибо. Изменено 7 февраля, 2012 пользователем HarleyDavidson Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 7 февраля, 2012 Share Опубликовано 7 февраля, 2012 (изменено) Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. C:\WINDOWS\system32\xtgina.dll C:\WINDOWS\system32\slsapi.dll C:\WINDOWS\system32\mspwjfpt.exe Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Admin\Application Data\004A10.exe',' '); QuarantineFile('C:\WINDOWS\system32\mspwjfpt.exe',' '); QuarantineFile('C:\WINDOWS\system32\winscard.dll',' '); QuarantineFile('C:\WINDOWS\system32\dllcache\winscard.dll',' '); QuarantineFile('C:\WINDOWS\system32\slsapi.dll',' '); DeleteFile('C:\Documents and Settings\Admin\Application Data\004A10.exe'); DeleteFile('C:\WINDOWS\system32\mspwjfpt.exe'); DeleteFile('C:\WINDOWS\SET8.tmp'); DeleteFile('C:\WINDOWS\SET4.tmp'); DeleteFile('C:\WINDOWS\SET3.tmp'); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoNDlNF', '*.*', true); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\hb7Kpo9I7YTx3LT', '*.*', true); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\hb7Kpo9I7YTx3LT'); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoNDlNF'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus. Отправьте архив через данную форму. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end. Повторите лог RSIT Покажите содержимое файла C:\plg.txt Какие проблемы наблюдаются? Изменено 7 февраля, 2012 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
HarleyDavidson 1 Опубликовано 8 февраля, 2012 Автор Share Опубликовано 8 февраля, 2012 Здравствуйте, выполнил все как велел Tiare Файлы отправил на исследование, ответа еще не приходило. Вот результат проверки virustotal: C:\WINDOWS\system32\xtgina.dll https://www.virustotal.com/file/7967158bf7c...sis/1328696886/ C:\WINDOWS\system32\slsapi.dll https://www.virustotal.com/file/54f8a14f3e4...sis/1328697045/ C:\WINDOWS\system32\mspwjfpt.exe https://www.virustotal.com/file/4987b0ca466...sis/1328697228/ Остальное во вложении. Какие проблемы наблюдаются? Не обновляется антивирусные базы Eset Smart Security (хай йому грець). Перестали работать некоторые программы. Спасибо! log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 8 февраля, 2012 Share Опубликовано 8 февраля, 2012 (изменено) Повторите сканирование в MBAM и удалите только следующие строки: C:\Documents and Settings\Admin\Application Data\004A10.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\WINDOWS\system32\mspwjfpt.exe (Heuristics.Shuriken) -> Действие не было предпринято. D:\System Volume Information\_restore{BE5B7999-4245-4ADE-B64F-55AA1DCF9FB6}\RP313\A0132428.exe (Malware.Packer) -> Действие не было предпринято. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: ClearJavaCache:: FCopy:: C:\WINDOWS\system32\dllcache\winscard.dll | c:\windows\system32\winscard.dll File:: C:\WINDOWS\system32\xtgina.dll C:\WINDOWS\SET8.tmp C:\WINDOWS\SET4.tmp C:\WINDOWS\SET3.tmp Folder:: C:\Documents and Settings\Admin\Application Data\hb7Kpo9I7YTx3LT C:\Documents and Settings\Admin\Application Data\7a6vHav3hoNDlNF FileLook:: C:\plg.txt После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Изменено 8 февраля, 2012 пользователем icotonev Цитата Ссылка на сообщение Поделиться на другие сайты
HarleyDavidson 1 Опубликовано 8 февраля, 2012 Автор Share Опубликовано 8 февраля, 2012 Пришел ответ на почту. 004A10.exe - Trojan.Win32.Yakes.oet В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами. bcqr00005.dat, bcqr00006.dat, bcqr00007.dat, bcqr00008.dat, bcqr00009.dat, bcqr00010.dat, winscard.dll Вредоносный код в файлах не обнаружен. mspwjfpt.exe Файл в процессе обработки. 6.2.2012__9.9.25.390.exe.vir,AddRemove-01_Simmental.reg.dat, AddRemove-02_Siberian.reg.dat, AddRemove-03_Swallowtail.reg.dat, AddRemove-04_semseyite.reg.dat, AddRemove-05_Sloan.reg.dat, AddRemove-06_Spencer.reg.dat, AddRemove-07_Schorl.reg.dat, AddRemove-08_EMPChipset.reg.dat, AddRemove-09_Hsp.reg.dat, AddRemove-11_HSP_Plus_Default.reg.dat, AddRemove-16_Shrewsbury.reg.dat, AddRemove-17_EMP_Chipset2.reg.dat, AddRemove-18_Zinia_Serial_Driver.reg.dat, AddRemove-19_VIA_driver.reg.dat, AddRemove-20_NXP_Driver.reg.dat, AddRemove-21_Searsburg.reg.dat, AddRemove-22_WiBro_WiMAX.reg.dat, AddRemove-24_flashusbdriver.reg.dat, AddRemove-25_escape.reg.dat, AddRemove-АвтоПоновлювач ОПЗ (OPZ).reg.dat, catchme.log, D0000.vir, D0000.vir, igfxtray.dat.vir, jni.dll.vir, key.bin.vir, Legacy_NETWORK_ADAPTER_EVENTS.reg.dat, M0000.vir, msmqinst.log.vir, regopt.log.vir, Service_Network Adapter Events.reg.dat, tcpip.reg, uid.txt.vir Файлы в процессе обработки. CliSecureRT.dll.vir, muzapp.exe.vir, Notify-WgaLogon.reg.dat, odbcad32.exe.vir, s0000.vir, S0000.vir, S0000.vir, sqlite3.dll.vir, Toolbar-ITBar7Position.reg.dat, winscard32.dll.vir, wjver.dat.vir, Пузыри.scr.vir Вредоносный код в файлах не обнаружен. copy.dat.vir, ieunitdrf.inf.vir Файлы нулевой длины. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 8 февраля, 2012 Share Опубликовано 8 февраля, 2012 Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 8 февраля, 2012 Share Опубликовано 8 февраля, 2012 (изменено) HarleyDavidson, удалите C:\plg.txt Меняйте все важные пароли, особенно от банковских аккаунтов (платежных систем). Перестали работать некоторые программы. уточните, что именно не работает. После выполнения всех вышеперечисленных рекомендаций проблема наблюдается? Лог RSIT прикрепили старый, переделайте. Изменено 8 февраля, 2012 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
HarleyDavidson 1 Опубликовано 9 февраля, 2012 Автор Share Опубликовано 9 февраля, 2012 (изменено) Здравствуйте, уважаемые. Все сделал как Вы просили. Файлы прикрепляю. Новые логи RIST там же. Некоторые программы пришлось сносить и заново устанавливать. Гугл хром заработал. mbam_log_2012_02_09__11_02_08_.txt ComboFix.txt log.txt Изменено 9 февраля, 2012 пользователем HarleyDavidson Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 9 февраля, 2012 Share Опубликовано 9 февраля, 2012 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: FCopy:: C:\WINDOWS\system32\dllcache\winscard.dll | c:\windows\system32\winscard.dll File:: C:\WINDOWS\system32\xtgina.dll После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.