gensek Опубликовано 4 января, 2009 Опубликовано 4 января, 2009 Всем привет!! Из-за постоянной перезагрузки пришлось отлажить удаление этого паука Посмотрите логи, помогите плиз Захват1.rar hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip
ТроПа Опубликовано 4 января, 2009 Опубликовано 4 января, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011709.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011707.exe',''); DeleteService('jgbgfjvm'); QuarantineFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно. Повторите логи.
gensek Опубликовано 5 января, 2009 Автор Опубликовано 5 января, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011709.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011707.exe',''); DeleteService('jgbgfjvm'); QuarantineFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно. Повторите логи. Скрипты выполнил но троян остался hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip
ТроПа Опубликовано 5 января, 2009 Опубликовано 5 января, 2009 'C:\WINDOWS\system32\AgCPanelSwedis.dll' - этот файл в архиве под паролем virus отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.
gensek Опубликовано 5 января, 2009 Автор Опубликовано 5 января, 2009 'C:\WINDOWS\system32\AgCPanelSwedis.dll' - этот файл в архиве под паролем virus отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно. AgCPanelSwedish.dll Вредоносный код в файле не обнаружен.
ТроПа Опубликовано 5 января, 2009 Опубликовано 5 января, 2009 а по поводу первого карантина ответа ещё не было?
gensek Опубликовано 5 января, 2009 Автор Опубликовано 5 января, 2009 а по поводу первого карантина ответа ещё не было? Здравствуйте. Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.
gensek Опубликовано 6 января, 2009 Автор Опубликовано 6 января, 2009 а по поводу первого карантина ответа ещё не было? Здравствуйте. Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы. Trojan-Dropper.Win32.Agent.adwt
akoK Опубликовано 6 января, 2009 Опубликовано 6 января, 2009 Деинсталируйте Outpost он блокирует работу антируткита AVZ. Пофиксить в HijackThis следующие строчки O4 - Global Startup: MS-0901-upd011707.exe O4 - Global Startup: MS-0901-upd011709.exe AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\Stardock\Object Desktop\IconPackager\iprepair.dll',''); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys',''); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011707.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011709.exe'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Повторите тольковместо лога HJT мне понадобится: Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
gensek Опубликовано 12 января, 2009 Автор Опубликовано 12 января, 2009 Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Повторите тольковместо лога HJT мне понадобится: Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Извиняюсь за задержку-ответ на карантин получил тока счас: Hello, iprepair.dll, oreans32.sys No malicious code were found in these files. userinit.exe_ - Trojan.Win32.Inject.neq Логи avz4 вот: virusinfo_syscheck.zip virusinfo_syscure.zip Ну а дальше проблемка, я RSIT не могу стянуть с инета ни тут (с сайта) ни с поскоивиков, ни с других форумов -- ни откуда, ну ни лезет он ко мне в комп - СЕРВЕР НЕ НАЙДЕН -(можа все это с одного места?) Прошлый раз был запрос - я скачал и ни проблем, а счас - фиг
akoK Опубликовано 12 января, 2009 Опубликовано 12 января, 2009 У Вас userinit.exe - патчен. Его необходими заменить на чистый.
gensek Опубликовано 12 января, 2009 Автор Опубликовано 12 января, 2009 (изменено) У Вас userinit.exe - патчен. Его необходими заменить на чистый. Сменил на чистый, размер 24,5 Кб,перезагрузил , а вирус сидит Изменено 12 января, 2009 пользователем gensek
ТроПа Опубликовано 12 января, 2009 Опубликовано 12 января, 2009 Проверьте userinit.exe ещё раз и сделайте новый комплект логов.
gensek Опубликовано 12 января, 2009 Автор Опубликовано 12 января, 2009 Проверьте userinit.exe ещё раз и сделайте новый комплект логов. Userinit.exe в порятке, вот логи: hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip
akoK Опубликовано 12 января, 2009 Опубликовано 12 января, 2009 Ну а дальше проблемка, я RSIT не могу стянуть с инета ни тут (с сайта) ни с поскоивиков, ни с других форумов -- ни откуда,ну ни лезет он ко мне в комп - СЕРВЕР НЕ НАЙДЕН -(можа все это с одного места?) Прошлый раз был запрос - я скачал и ни проблем, а счас - фиг Попробуйте скачать отсюда. Какие проблемы наблюдаются. Если наблюдаются, то опишите их более подробно.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти