Александр81 0 Опубликовано 23 ноября, 2012 Share Опубликовано 23 ноября, 2012 каперский антивирус 2012 находит вирус Trojan.win32.agent2.llh и net-worm.win32.kido.ih в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\(папка с произвольным именем), удаляет с перезагрузкой, и на следующий день история повторяется. полная проверка касперским и др. веб круель когото ловит но не решает проблему помогите справиться с гадом, пожалуйста virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 23 ноября, 2012 Share Опубликовано 23 ноября, 2012 Александр81, здравствуйте. Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" Begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('I:\autorun.inf',''); QuarantineFile('absseugo.dll',''); QuarantineFile('c:\huadio.tmp',''); QuarantineFile('C:\WINDOWS\system32\013.tmp',''); DeleteFile('C:\WINDOWS\system32\013.tmp'); DeleteFile('c:\huadio.tmp'); DeleteService('ayultb'); DeleteService('autorun'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file) O2 - BHO: Site Advisor Module - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - (no file) + сделайте лог GMER + Установите Internet Explorer 8 (даже если им не пользуетесь) + Все обновления на ОС установлены? Если нет, то установите все новые обновления для Windows + Внимание ! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) обновите базы и повторите логи AVZ + RSIT. Все отчеты прикрепите к вашему сообщению. P.S. компьютер в локальной сети? Пароль на админа (учетки) установлен сложный? Цитата Ссылка на сообщение Поделиться на другие сайты
Александр81 0 Опубликовано 25 ноября, 2012 Автор Share Опубликовано 25 ноября, 2012 (изменено) процедуры провёл, запрос через личный кабинет отправил. по получению ответа отпишусь. спасибо перечитал Вашу инструкцию, : кое-чего не доделал. сейчас исправлю Изменено 25 ноября, 2012 пользователем Александр81 Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 25 ноября, 2012 Share Опубликовано 25 ноября, 2012 Александр81, логи повторные AVZ, RSIT и лог GMER сделали? Прикрепляйте, не дожидаясь ответа из вирлаба. Основной зловред еще не удален. Цитата Ссылка на сообщение Поделиться на другие сайты
Александр81 0 Опубликовано 27 ноября, 2012 Автор Share Опубликовано 27 ноября, 2012 обновил базы, прогнал проверки, логи прилагаю. после прогнал др.веб круель и он поймал ogpzst.dll в виндовз/систем32 з.ы. файл i:/autoran.inf безвреден. принадлежит съёмному диску сиагейт Строгое предупреждение от модератора thyrex Не прикрепляйте карантин virusinfo_cure.zip к сообщению info.txt log.txt virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 27 ноября, 2012 Share Опубликовано 27 ноября, 2012 Вас просили сделать лог gmer. Где он? Цитата Ссылка на сообщение Поделиться на другие сайты
Александр81 0 Опубликовано 28 ноября, 2012 Автор Share Опубликовано 28 ноября, 2012 тысяча извинений, забыл - исправляюсь. ради gmerа и тянул ибо долго проверяет з.ы. предупреждению внял gmerlog.log Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 28 ноября, 2012 Share Опубликовано 28 ноября, 2012 Перед выполнением скрипта выгрузите все защиное ПО, драйвера виртуальных приводов. Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится f3ylpogp.exe случайное имя утилиты (gmer) f3ylpogp.exe -del service hbiyz f3ylpogp.exe -del service umgvu f3ylpogp.exe -del file "C:\WINDOWS\system32\ogpzst.dll" f3ylpogp.exe -del file "C:\WINDOWS\system32\ricfmm.dll" f3ylpogp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\umgvu" f3ylpogp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hbiyz" f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\umgvu" f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hbiyz" f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hbiyz" f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\umgvu" f3ylpogp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hbiyz" f3ylpogp.exe -reboot + Устанавливайте все доступные обновления на ОС + Повтрите логи AVZ и RSIT + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве Какие проблемы остались? Цитата Ссылка на сообщение Поделиться на другие сайты
Александр81 0 Опубликовано 29 ноября, 2012 Автор Share Опубликовано 29 ноября, 2012 (изменено) скрипт выполнил. заново прогнал AVZ, RSIT и Malwarebytes' Anti-Malware . логи прилагаю. вирус продолжает создавать файлы в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5, касперский ловит но при этом рвётся процесс win32host с общим зависанием системы mbam_log_2012_11_29__22_08_28_.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt Изменено 29 ноября, 2012 пользователем Александр81 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 ноября, 2012 Share Опубликовано 29 ноября, 2012 C:\setup.exe - это что такое? Новый лог gmer сделайте Удалите в МВАМ только указанные ниже записи Обнаруженные ключи в реестре: 13 HKCR\CLSID\{6D7B211A-88EA-490c-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято. HKCR\TypeLib\{EF62EF34-7E5A-46ac-9383-1949547AF5D6} (Trojan.BHO) -> Действие не было предпринято. HKCR\ConnectionServices.ConnectionServices.1 (Trojan.BHO) -> Действие не было предпринято. HKCR\ConnectionServices.ConnectionServices (Trojan.BHO) -> Действие не было предпринято. HKCR\Typelib\{431D251C-B43A-47d7-B4F4-07A101B432D6} (Trojan.BHO) -> Действие не было предпринято. HKCR\Interface\{8CB0D898-A6A2-48c3-BBD7-862F85B18D46} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B2150688-1AA5-4698-90BE-C3CBECBB5786} (Adware.LinkPlacing) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2150688-1AA5-4698-90BE-C3CBECBB5786} (Adware.LinkPlacing) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> Действие не было предпринято. HKCR\JS_Hijack.BHOImpl (Adware.LinkPlacing) -> Действие не было предпринято. HKCR\JS_Hijack.BHOImpl.1 (Adware.LinkPlacing) -> Действие не было предпринято. HKCR\AppID\JS_Hijack.DLL (Adware.LinkPlacing) -> Действие не было предпринято. Объекты реестра обнаружены: 4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. Обнаруженные папки: 1 C:\Program Files\FieryAds (Adware.Adware.FearAds) -> Действие не было предпринято. Обнаруженные файлы: 8 C:\Documents and Settings\Татьяна\Application Data\fieryads.dat (Adware.FieryAds) -> Действие не было предпринято. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 29 ноября, 2012 Share Опубликовано 29 ноября, 2012 Александр81, а вы обновления на ОС поставили? Расшаренные папки есть? Пароль на учетки сложный? У вас, похоже, новое заражение... Цитата Ссылка на сообщение Поделиться на другие сайты
Александр81 0 Опубликовано 30 ноября, 2012 Автор Share Опубликовано 30 ноября, 2012 до обновления не добрался. сети нет (кроме сети провайдера). пользователь один, пароля нет по умолчанию Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 30 ноября, 2012 Share Опубликовано 30 ноября, 2012 до обновления не добрался. сети нет (кроме сети провайдера). пользователь один, пароля нет по умолчанию кидо с "дырявой системы" не выгнать. Поэтому готовьте новый лог GMER, прикладывайте отчет MBAM после удаления. Закройте все расшаренные папки, поставьте сложный пароль на админа и на основную учетку. Если компьютер в локальной сети - изолируйте его полностью от других на время лечения. Заплатки, которые нужно установить в первую очередь, могу залить на файлообменник. Скачать сможете откуда-нибудь? Цитата Ссылка на сообщение Поделиться на другие сайты
Александр81 0 Опубликовано 30 ноября, 2012 Автор Share Опубликовано 30 ноября, 2012 скачать смогу Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 30 ноября, 2012 Share Опубликовано 30 ноября, 2012 залила сюда Устанавливайте. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.