Painkiller 0 Опубликовано 23 мая, 2012 Share Опубликовано 23 мая, 2012 Приветствую вас. С недавних пор начались проблемы незагружались некоторые сайты ( в том числе и этот форум или загружался, но при логине сайт становился недоступен), а браузеры такие как IE и Хром вообще не работали. Немного погуглил нашёл решение проблемы в интернете, а именно правил параметр AppInit_DLLs в реестре по пути HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows просто удалил значение (значение было C:\WINDOWS\system32\uqepyag.dll) и всё заработало, пустило на форум, смог залогиниться вконтакте, а так же заработали другие браузеры. Возможно заражение машины? virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 23 мая, 2012 Share Опубликовано 23 мая, 2012 Здравствуйте..! • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\temp\jdpjrhy.exe'); QuarantineFile('c:\windows\temp\jdpjrhy.exe',''); QuarantineFile('C:\WINDOWS\system32\uqepyag.dll',''); QuarantineFile('C:\WINDOWS\system32\5AD6.tmp',''); QuarantineFile('c:\windows\system32\notepad.exe',''); QuarantineFile('c:\windows\explorer.exe',''); DeleteFile('C:\WINDOWS\system32\5AD6.tmp'); DeleteFile('C:\WINDOWS\system32\uqepyag.dll'); DeleteFile('c:\windows\temp\jdpjrhy.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FFSystem'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. После всех процедур выполните скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus . 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. Сделайте новые логи..АВЗ + RSIT..! Цитата Ссылка на сообщение Поделиться на другие сайты
Painkiller 0 Опубликовано 23 мая, 2012 Автор Share Опубликовано 23 мая, 2012 готово virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 23 мая, 2012 Share Опубликовано 23 мая, 2012 Спасибо..!Давайте подождем анализа вирусной лаборатории..! Цитата Ссылка на сообщение Поделиться на другие сайты
Painkiller 0 Опубликовано 24 мая, 2012 Автор Share Опубликовано 24 мая, 2012 увы ответа так и нету только автоматическое сообщение. Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. mstask.dll, ntshrui.dll Файлы в процессе обработки. С уважением, Лаборатория Касперского А что вы скажите по логам пока чисто? Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 24 мая, 2012 Share Опубликовано 24 мая, 2012 Меня беспокоит, что explorer.exe, не определяется АВЗ как безопасном..! Ничего необычного больше не видно..! Цитата Ссылка на сообщение Поделиться на другие сайты
Painkiller 0 Опубликовано 24 мая, 2012 Автор Share Опубликовано 24 мая, 2012 Понятно спасибо большое. А есть другой способ проверить его? если есть скажите пожалуйста я сделаю Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 24 мая, 2012 Share Опубликовано 24 мая, 2012 Можно проверить файл на VirusTotal Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 мая, 2012 Share Опубликовано 24 мая, 2012 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\system32\machineupper32.exe',''); DeleteFile('C:\WINDOWS\system32\machineupper32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
Painkiller 0 Опубликовано 2 июня, 2012 Автор Share Опубликовано 2 июня, 2012 (изменено) Простите, что так долго не отвечал вот логи Ps после выполнения скрипта заработал virustotal.com log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip mbam_log_2012_06_02__08_46_55_.txt Изменено 2 июня, 2012 пользователем Painkiller Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 2 июня, 2012 Share Опубликовано 2 июня, 2012 Повторите сканирование в MBAM и удалите только следующие строки: HKCR\idid (Trojan.Sasfix) -> Действие не было предпринято. HKCU\SOFTWARE\AdTools, Inc. (Adware.AdTools) -> Действие не было предпринято. HKLM\SOFTWARE\PdmSoftware (Trojan.Ransom) -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Действие не было предпринято. HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ⾩趓풸쯁႖첔貯穱엑ꤪ坿㰨䘼ꁯ邕寝⣶箘Ꮲﲐ焩ꗞtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ븱䔚쓤ᯭ確⪮툩埽쑨䞄骊姡tฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ僟垂㍟톟ꢝ▂睯ꌼtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ鿿㵯羮쎛 -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: ћ›ћЊ—љ‰Њ”†Сњђ’ -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: ћљ—љ“Њ–љСњђ’ -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ќЉ‹–Ќћ›ћЊСњђ’РќЁђЋ№КІћё§ѕНМ‡¦СЏ—Џ -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято. C:\WINDOWS\NiwradSoft Shell Pack\Backup\ctfmon.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\WINDOWS\system32\dllcache\ctfmon.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Documents and Settings\_SaTaNa_\Application Data\avdrn.dat (Malware.Trace) -> Действие не было предпринято. Что с проблемами? Цитата Ссылка на сообщение Поделиться на другие сайты
Painkiller 0 Опубликовано 4 июня, 2012 Автор Share Опубликовано 4 июня, 2012 Спасибо большое проблем больше не наблюдается Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 4 июня, 2012 Share Опубликовано 4 июня, 2012 Деинсталируйте MBAM.Чистого интернета, не забудьте выполнить: Рекомендации после лечения Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.