Посмотрите пожалуйста логи.

[Painkiller]

Приветствую вас. С недавних пор начались проблемы незагружались некоторые сайты ( в том числе и этот форум или загружался, но при логине сайт становился недоступен), а браузеры такие как IE и Хром вообще не работали. Немного погуглил нашёл решение проблемы в интернете, а именно правил параметр AppInit_DLLs в реестре по пути HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows просто удалил значение (значение было C:\WINDOWS\system32\uqepyag.dll) и всё заработало, пустило на форум, смог залогиниться вконтакте, а так же заработали другие браузеры. Возможно заражение машины?

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[icotonev]

Здравствуйте..!

 

• Отключите временно:

Антивирус/Файерволл

 

• Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\jdpjrhy.exe');
QuarantineFile('c:\windows\temp\jdpjrhy.exe','');
QuarantineFile('C:\WINDOWS\system32\uqepyag.dll','');
QuarantineFile('C:\WINDOWS\system32\5AD6.tmp','');
QuarantineFile('c:\windows\system32\notepad.exe','');
QuarantineFile('c:\windows\explorer.exe','');
DeleteFile('C:\WINDOWS\system32\5AD6.tmp');
DeleteFile('C:\WINDOWS\system32\uqepyag.dll');
DeleteFile('c:\windows\temp\jdpjrhy.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FFSystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

 

Сделайте новые логи..АВЗ + RSIT..!

[Painkiller]

готово

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[icotonev]

Спасибо..!Давайте подождем анализа вирусной лаборатории..!

[Painkiller]

увы ответа так и нету только автоматическое сообщение. Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

mstask.dll,

ntshrui.dll

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского

 

А что вы скажите по логам пока чисто?

[icotonev]

Меня беспокоит, что explorer.exe, не определяется АВЗ как безопасном..!

Ничего необычного больше не видно..!

[Painkiller]

Понятно спасибо большое. А есть другой способ проверить его? если есть скажите пожалуйста я сделаю

[icotonev]

Можно проверить файл на VirusTotal

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\WINDOWS\system32\machineupper32.exe','');
DeleteFile('C:\WINDOWS\system32\machineupper32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

[Painkiller]

Простите, что так долго не отвечал вот логи

 

Ps после выполнения скрипта заработал virustotal.com

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam_log_2012_06_02__08_46_55_.txt

Изменено 2 июня, 2012 пользователем Painkiller

[icotonev]

Повторите сканирование в MBAM и удалите только следующие строки:

 

HKCR\idid (Trojan.Sasfix) -> Действие не было предпринято.
HKCU\SOFTWARE\AdTools, Inc. (Adware.AdTools) -> Действие не было предпринято.
HKLM\SOFTWARE\PdmSoftware (Trojan.Ransom) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Действие не было предпринято.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ⾩趓풸쯁႖첔貯穱엑ꤪ坿㰨䘼ꁯ邕꭬寝⣶箘Ꮲﲐ焩ꗞtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ븱䔚쓤ᯭ確⪮툩埽쑨䞄骊姡tฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ僟垂㍟톟ꢝ▂睯ꌼtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ鿿㵯羮쎛 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: ћ›ћЊ—љ‰Њ”†Сњђ’ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: ћљ—љ“Њ–љСњђ’ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ќЉ‹–Ќћ›ћЊСњђ’РќЁђЋ№КІћё§ѕНМ‡¦СЏ—Џ -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.

C:\WINDOWS\NiwradSoft Shell Pack\Backup\ctfmon.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\WINDOWS\system32\dllcache\ctfmon.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\Documents and Settings\_SaTaNa_\Application Data\avdrn.dat (Malware.Trace) -> Действие не было предпринято.

 

Что с проблемами?

[Painkiller]

Спасибо большое проблем больше не наблюдается

[icotonev]

Деинсталируйте MBAM.Чистого интернета, не забудьте выполнить: Рекомендации после лечения