Podnuha.bkc

[gensek]

Как только влез в инет через другой модем (56килобит), он обновил с бешеной ошибкой и то 1 раз

а затем тутже 19 зараз словилось

С 18 каспер справился, а вот с 1 - не может

 

Плиз помогите

 

Захват1.rar

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[sergtask]

То что у тебя на картинке это Alcohol 120% , ну снеси его раз в нем такая зараза....А почему у тебя каспер демо версия?

[gensek]

То что у тебя на картинке это Alcohol 120% , ну снеси его раз в нем такая зараза....А почему у тебя каспер демо версия?

 

В нем в Алкоголе или там свиртуалено что-то заразное

 

У меня там 233 Гига

[sergtask]

Это файл Алкоголя .dll т.е. сам файл принадлежит алкоголю, так что я бы снес его.

Захват1.BMP

Изменено 26 декабря, 2008 пользователем sergtask

[gensek]

Это файл Алкоголя .dll т.е. сам файл принадлежит алкоголю, так что я бы снес его.

 

Вери мач

Ставим его в довереную зону

[sergtask]

ну или так....

[Falcon]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\KERNEL1.EXE ',' ');
QuarantineFile('C:\WINDOWS\system32\Drivers\ukwdtnzv.sys ',' ');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys ',' ');
QuarantineFile('c:\windows\system32\oodag.exe ',' ');
DeleteFile('msansspc.dll');
DeleteFile('C:\WINDOWS\system32\clusap.dll');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\Documents and Settings\2008\Local Settings\Temp\{8B7C7CA0-CBE6-43C3-86E8-14BBB73ABB5B}\{021CB753- D388-4C3B-8E40-554E226F54F2}\ATR1.EXE');
DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
DeleteService('synsend');
BC_ImportAll;
BC_DeleteSvc('synsend');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите попавшие в карантин файлы на newvirus@kaspersky.com, с установленным на архив паролем "вирус" (без кавычек), пароль укажите в теле письма.

 

О результатах отпишитесь в теме.

 

Пофиксите:

O2 - BHO: (no name) - {23F67AA1-E406-4877-BF03-D2A592F17F46} - C:\WINDOWS\system32\clusap.dll
O4 - Startup: Shadow Ops_ Red Mercury Registration.lnk = C:\Documents and Settings\2008\Local Settings\Temp\{8B7C7CA0-CBE6-43C3-86E8-14BBB73ABB5B}\{021CB753-D388-4C3B-8E40-554E226F54F2}\ATR1.EXE
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)

 

C:\WINDOWS\system32\Drivers\ukwdtnzv.sys - об этом товарище гуглю ничего не известно,

C:\WINDOWS\system32\KERNEL1.EXE - уж очень грубая маскировка под ядро NT, не знаю что это, но вряд ли какая-то полезная фича.

Изменено 26 декабря, 2008 пользователем Falcon

[sergtask]

Falcon так все таки его надо удалять 'C:\WINDOWS\system32\clusap.dll' ? Просто хочу знать...для развития

[Falcon]

А как же

[gensek]

Пофиксите:

O2 - BHO: (no name) - {23F67AA1-E406-4877-BF03-D2A592F17F46} - C:\WINDOWS\system32\clusap.dll

 

02-не фиксится-остается все время

[Falcon]

Карантин отослали?

[gensek]

Карантин отослали?

 

со 2-го раза

[Falcon]

Хорошо, повторите логи и ждем ответа от Вирлаба

[gensek]

Хорошо, повторите логи и ждем ответа от Вирлаба

 

 

Ну вот

 

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

 

А это почта

 

Дата:Sat, 27 Dec 2008 14:04:04 +0300 Тема:RE: касп [KLAN-18844957]

Здравствуйте.

 

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

 

 

 

 

После обновления Каспер ни че ни нашел

Изменено 27 декабря, 2008 пользователем gensek

[Falcon]

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

Приведите имя файла.

 

Вот эта красота в карантин не попала, если опять не попадет, поищите с помощью AVZ и проверьте на virustotal.com.

C:\WINDOWS\system32\Drivers\ukwdtnzv.sys

 

Выполните:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{23F67AA1-E406-4877-BF03-D2A592F17F46}'); 
QuarantineFile('C:\WINDOWS\system32\Drivers\ukwdtnzv.sys ',' ');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

 

Карантин в Вирлаб.

Изменено 28 декабря, 2008 пользователем Falcon