vlad252005 0 Опубликовано 1 февраля, 2013 Автор Share Опубликовано 1 февраля, 2013 Tiare, по ссылке я перешел, остатки Dr.Web почистил, вроде не должны быть видны. RSIT сделал, лог пприкреплен. log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 февраля, 2013 Share Опубликовано 1 февраля, 2013 Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\Temp\1336DFB1E.sys'); DeleteFile('C:\WINDOWS\Temp\97E0B831.sys'); DeleteService('97E0B831'); DeleteService('1336DFB1E'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - обновите Java до актуальной версии Сделайте контрольные логи AVZ и RSIT. Как самочувствие компьютера? Есть проблемы? Цитата Ссылка на сообщение Поделиться на другие сайты
vlad252005 0 Опубликовано 1 февраля, 2013 Автор Share Опубликовано 1 февраля, 2013 Сейчас, спасибо Вам!, все уже нормально, раньше постоянно какое-то черное окно с текстом выскакивало на 20 сек, mail.ru не открывался, и при каждой новой странице выскакивало то окно. Сейчас ничего такого нет, уже все нормально. Сейчас сделаю логи. Новую Java установил, скрипты сделал. Судя по всему вирус еще есть, вчера не было проблем со входом в соц. сети, сегодня снова не впускает... Судя по всему снова вирус активировался. Вчера не было проблем со входом в соц. сети, сегодня снова не могу войти, просит прислать смс. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 февраля, 2013 Share Опубликовано 1 февраля, 2013 нет, это что-то новенькое уже. Зачем восстановление системы отключили? Включайте, и создайте новую точку восстановления. Пофиксите в HijackThis следующие строчки. O1 - Hosts: 87811111 O1 - Hosts: 92.114.82.193 my.mail.ru O1 - Hosts: 92.114.82.193 m.my.mail.ru O1 - Hosts: 92.114.82.193 vk.com O1 - Hosts: 92.114.82.193 ok.ru O1 - Hosts: 92.114.82.193 m.vk.com O1 - Hosts: 92.114.82.193 odnoklassniki.ru O1 - Hosts: 92.114.82.193 vk.com O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru O1 - Hosts: 92.114.82.193 ok.ru O1 - Hosts: 92.114.82.193 m.ok.ru O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru O1 - Hosts: 87811111 O1 - Hosts: 92.114.82.193 my.mail.ru O1 - Hosts: 92.114.82.193 m.my.mail.ru O1 - Hosts: 92.114.82.193 vk.com O1 - Hosts: 92.114.82.193 ok.ru O1 - Hosts: 92.114.82.193 m.vk.com O1 - Hosts: 92.114.82.193 odnoklassniki.ru O1 - Hosts: 92.114.82.193 vk.com O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru O1 - Hosts: 92.114.82.193 ok.ru O1 - Hosts: 92.114.82.193 m.ok.ru O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru O1 - Hosts: 87811111 O1 - Hosts: 92.114.82.193 my.mail.ru O1 - Hosts: 92.114.82.193 m.my.mail.ru O1 - Hosts: 92.114.82.193 vk.com O1 - Hosts: 92.114.82.193 ok.ru O1 - Hosts: 92.114.82.193 m.vk.com O1 - Hosts: 92.114.82.193 odnoklassniki.ru O1 - Hosts: 92.114.82.193 vk.com O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru O1 - Hosts: 92.114.82.193 ok.ru O1 - Hosts: 92.114.82.193 m.ok.ru O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru O1 - Hosts: 87811111 O1 - Hosts: 92.114.82.193 my.mail.ru O1 - Hosts: 92.114.82.193 m.my.mail.ru O1 - Hosts: 92.114.82.193 vk.com O1 - Hosts: 92.114.82.193 ok.ru O1 - Hosts: 92.114.82.193 m.vk.com O1 - Hosts: 92.114.82.193 odnoklassniki.ru O1 - Hosts: 92.114.82.193 vk.com O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru O1 - Hosts: 92.114.82.193 m.odnoklassniki.ru O1 - Hosts: 92.114.82.193 ok.ru O1 - Hosts: 92.114.82.193 m.ok.ru O1 - Hosts: 92.114.82.193 www.odnoklassniki.ru Что в папке C:\Program Files\kolobrod? Покажите содержимое (можно скриншот) Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. C:\WINDOWS\kmsem\KMService.exe + Сделайте лог GMER. Перед сканированием выгрузите все защитное ПО и драйвера виртуальных приводов. У вас все обновления на ОС установлены? Цитата Ссылка на сообщение Поделиться на другие сайты
vlad252005 0 Опубликовано 1 февраля, 2013 Автор Share Опубликовано 1 февраля, 2013 (изменено) Строчки в в HijackThis профиксил Скриншоты приложил. Результаты сканирования папки kolobrod: https://www.virustotal.com/file/8a016675279...sis/1359734875/ https://www.virustotal.com/file/de03e7994df...sis/1359735049/ https://www.virustotal.com/file/d5f8a2a7a77...sis/1359735326/ https://www.virustotal.com/file/b77446a3927...sis/1359735424/ КодC:\WINDOWS\kmsem\KMService.exe + Сделайте лог GMER. Перед сканированием выгрузите все защитное ПО и драйвера виртуальных приводов. Я не понял что это за код (C:\WINDOWS\kmsem\KMService.exe ), и что с ним делать... Как выгрузить все защитное ПО и драйвера виртуальных приводов? Sorry, но я к сожалению не знаю, никогда этим сам не занимался. Изменено 1 февраля, 2013 пользователем vlad252005 Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 февраля, 2013 Share Опубликовано 1 февраля, 2013 Результаты сканирования папки kolobrod: Вот он ваш новый зловред. Что вы такое скачивали, откуда эта папка? Папку пока не удалять! Отправим на анализ Я не понял что это за код C:\WINDOWS\kmsem\KMService.exe проверить на Вирустотал Как выгрузить все защитное ПО Выгрузите антивирус и др. защитное ПО (если есть). Цитата Ссылка на сообщение Поделиться на другие сайты
vlad252005 0 Опубликовано 1 февраля, 2013 Автор Share Опубликовано 1 февраля, 2013 C:\WINDOWS\kmsem\KMService.exe Не могу найти эту папку Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 февраля, 2013 Share Опубликовано 1 февраля, 2013 выполняйте остальные рекомендации. + Что вы такое скачивали, откуда эта папка Program Files\kolobrod? ВСЕ обновления установлены на ОС? Цитата Ссылка на сообщение Поделиться на другие сайты
vlad252005 0 Опубликовано 1 февраля, 2013 Автор Share Опубликовано 1 февраля, 2013 Скпчивал только Opera и Adobe flash player. Все обновления ОС стоят. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 1 февраля, 2013 Share Опубликовано 1 февраля, 2013 Скпчивал только Opera и Adobe flash player. Revo Uninstaller скачивали и ставили? не с официального сайта? Цитата Ссылка на сообщение Поделиться на другие сайты
vlad252005 0 Опубликовано 1 февраля, 2013 Автор Share Опубликовано 1 февраля, 2013 Да, кстати, точно, пытался установить. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 1 февраля, 2013 Share Опубликовано 1 февраля, 2013 Напомню незакрытые вопросы: + Сделайте лог GMER. Перед сканированием выгрузите все защитное ПО и драйвера виртуальных приводов. ВСЕ обновления установлены на ОС? Цитата Ссылка на сообщение Поделиться на другие сайты
vlad252005 0 Опубликовано 1 февраля, 2013 Автор Share Опубликовано 1 февраля, 2013 лог GMER сейчас делаю, обновления ОС все установлены. Вроде сделал... GMER.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 1 февраля, 2013 Share Опубликовано 1 февраля, 2013 Вроде сделал... какой-то он незавершённый... Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; ClearHostsFile; TerminateProcessByName('c:\windows\kmsem\kmservice.exe'); QuarantineFile('C:\Program Files\kolobrod\*.*',''); QuarantineFile('c:\windows\kmsem\kmservice.exe',''); DeleteFileMask('C:\Program Files\kolobrod\','*.* ',true ,' '); DeleteDirectory('C:\Program Files\kolobrod\',' '); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup-<current number>.exe Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее..."). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. обновления ОС все установлены Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log. Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows) Перезагрузите компьютер. Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены. Цитата Ссылка на сообщение Поделиться на другие сайты
vlad252005 0 Опубликовано 1 февраля, 2013 Автор Share Опубликовано 1 февраля, 2013 Ок, сейчас все сделаю. 1. файл Quarantine.zip из папки AVZ отправил через Личный кабинет. 2. Malwarebytes' Anti-Malware все так же не устанавливается. При установке выпадает сообщение CoCreateInstance: сбой; код 0x80040154. Класс не зарегистрирован. Много раз нажимаю Ок., и когда высвечивается окно завершения, снимаю галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO ", после чего выходит сообщение: ошибка Run-time error `372`: Failed to load control `WebBrowser` from ieframe.dll Your version of ieframe.dll may be outdated. Make sure you are using the version of the control that was provided with your application. 3. Выполните в AVZ скрипт из файла ScanVuln.txt - скрипт выполнил, но вот файл avz_log.txt не нашел. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.