SLASH_id Опубликовано 23 мая, 2012 Share Опубликовано 23 мая, 2012 Вашему вниманию ноут со сборкой на борту. Со стандартным букетом который поверхностно подчищен. (MBRLock, AutoIT, Kido, PHP-Worm) Хорошо бы подчистить хвосты. Логи внутри, сижу в онлайн жду. Сообщение от модератора Jen94 Устное предупреждение по п.6 правил info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
icotonev Опубликовано 23 мая, 2012 Share Опубликовано 23 мая, 2012 Здравствуйте..! Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу. - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Ссылка на комментарий Поделиться на другие сайты More sharing options...
SLASH_id Опубликовано 23 мая, 2012 Автор Share Опубликовано 23 мая, 2012 Сканирование продолжается уже третий час и конца краю не видно... Завтра в 10 утра по МСК приложу лог. Хотя врядли будет больше чем сейчас: gmer.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
icotonev Опубликовано 23 мая, 2012 Share Опубликовано 23 мая, 2012 1. Откройте Блокнот и скопируйте в него текст скрипта e5hspvqm.exe -del service icauc e5hspvqm.exe -del file "C:\WINDOWS\system32\qlqwmt.dll" e5hspvqm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\icauc" e5hspvqm.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\icauc" e5hspvqm.exe -reboot 2. Нажмите Файл - Сохранить как 3. Выберите ту папку, где находится e5hspvqm.exe (gmer) 4. Укажите Тип файла - Все файлы (*.*) 5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить 6. Запустите cleanup.bat ВНИМАНИЕ: Компьютер перезагрузится! Сделайте новый лог gmer Потом...: • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\NOSEventMessages.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\winzipsoft\wzipstart.exe',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\NEventMessages.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\D2BFB9.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\D2BFB9.exe'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\NOSEventMessages.dll'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\winzipsoft\wzipstart.exe'); DeleteFile('F:\autorun.inf'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\NEventMessages.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OviSuite','EventMessageFile'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','America Online'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(8); RebootWindows(true); end. После всех процедур выполните скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus . 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. • HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net Сделайте новые логи..АВЗ + RSIT..! Ссылка на комментарий Поделиться на другие сайты More sharing options...
SLASH_id Опубликовано 24 мая, 2012 Автор Share Опубликовано 24 мая, 2012 Спасибо за помощь. Клиент пришел, посмотрел на машинку и раскошелился на переустановку ибо тупит оно адски. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения