[Лог!] Не заходит на сайты компании, не обновляются базы

[Drogba]

АВЗ!

 

Когда перенес,выдало ошибку!

 

RSIT

virusinfo_syscure.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

[akoK]

ладно, пытаемся по другому.

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

 

Скачайте OTCleanIt, запустите, нажмите Clean up

 

При помощи IceSword удалить

\systemroot\system32\drivers\TDSSmxfe.sys

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\rvrs.dll','');
QuarantineFile('C:\WINDOWS\system32\xvid.ax','');
DeleteFile('\systemroot\system32\drivers\TDSSmxfe.sys');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи AVZ.

[Drogba]

systemroot такой папки нет!На С?Может быть Windows вместо systemroot?

 

Еще хочу спросить. Выскакивает подозрительная активность:клавиатурный перехватчик \DRIVER\ISDRV118, и есть только разрешить и добавить в исключения.

ОООО На сайты компаний антивирусных стало заходить!Неужели вирус сдох?!

Изменено 13 января, 2009 пользователем Drogba

[akoK]

ISDRV118 - драйвер IceSword.

 

Вы логи повторите. AVZ+RSIT.

[Falcon]

systemroot такой папки нет!На С?Может быть Windows вместо systemroot?

Это параметр для автоматического определения папки с текущей ОС.

[Drogba]

Это параметр для автоматического определения папки с текущей ОС.

Аа,ну я так и понял по систем32.Там такого файла нет!

 

АВЗ-логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Drogba]

Ну че кто-нибудь посмотрит логи?!

 

Здравствуйте.

 

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

P2P-Worm.Win32.Agent.ly

 

> Пароль:virus

>

>

>

-----------------

С уважением, <вирусный аналитик>

Вирусный аналитик

ЗАО "Лаборатория Касперского"

 

Опять тот же вирус,который я в первый раз посылвл.

 

Сообщение от модератора Falcon

Вырезал фамилию аналитика.

Изменено 14 января, 2009 пользователем Falcon

[Falcon]

Зараза осталась.

 

Скачайте IceSword.

 

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл C:\WINDOWSsystem32\drivers\TDSSmxfe.sys.

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\xvid.ax');
DeleteFile('\systemroot\system32\drivers\TDSSmxfe.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\xvid.ax');
BC_DeleteFile('\systemroot\system32\drivers\TDSSmxfe.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Повторите логи AVZ + HJT.

Изменено 14 января, 2009 пользователем Falcon

[Drogba]

C:\WINDOWSsystem32\drivers\TDSSmxfe.sys.

Этого файла нет!Что делать!?

 

Выполнил скрипт.

Вот логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 14 января, 2009 пользователем Drogba

[Falcon]

Отключите восстановление системы!

 

Отключение ВС для Vista/XP

 

И выполните то, что указано в посте №38 еще раз.

 

Зараза никуда не делась, вот сидит:

 

P.S. Лог HJT тоже нужен.

Изменено 14 января, 2009 пользователем Falcon

[Drogba]

Отключите восстановление системы!

 

Отключение ВС для Vista/XP

 

И выполните то, что указано в посте №38 еще раз.

 

Зараза никуда не делась, вот сидит:

 

P.S. Лог HJT тоже нужен.

HJT не могу скачать,не качается!И у меня отключено было ВС

 

Нет этого файла!ВС отключено.

Изменено 14 января, 2009 пользователем Drogba

[ТроПа]

Скачайте Malwarebytes' Anti-Malware и установите программу.

 

Запустите Malwarebytes' Anti-Malware (если при установке вы разрешили создать ярлык на рабочем столе - то дважды нажмите левой кнопкой мыши на нём)

Обновите базы. Для этого перейдите на вкладку Обновление. Нажмите кнопку Проверить обновления

В случае удачного окончания обновления программа уведомит об этом

В случае если оновление произошло не удачно, попробуйте изменить Сайт обновления и повторить попытку ещё раз.

Перейдите на вкладку Сканер

Выберите пункт Провести полную проверку

Нажмите кнопку Проверить

После этого появится оконо программы, в котором перечисленны все диски и предварительно отмечены диски для проверки. Если вы желаете проверить ещё какой-либо диск (и он действительно подключен к компьютеру) то поставьте галочку слева от него. После этого нажмите кнопку Начать проверку

После окончания проверки программа Вас уведомит об этом.

Нажмите ОК, после этого нажмите на кнопку Показать результаты

После этого в окне будут показаны результаты сканиования. Если Вы видите, что программа заподозрила какую-то программу, которая известна вам как полностью легитимная, то снимите галочку возле строчки и добавьте в исключения.

В противном случае нажмите кнопку Удалить выделенные

После удаления программа проинформирует об этом и предложит перезагрузить компьютер. Соглашаемся, нажимая ОК.

Для того, что бы просмотреть лог, выбираем вкладку Отчёты, там будет представлен весь перечень отчётов. Выбираем отчёт и нажимаем кнопку Открыть. Сохраните его и прикрепите к следующему сообщению.

[Drogba]

Скачайте Malwarebytes' Anti-Malware и установите программу.

 

Запустите Malwarebytes' Anti-Malware (если при установке вы разрешили создать ярлык на рабочем столе - то дважды нажмите левой кнопкой мыши на нём)

Обновите базы. Для этого перейдите на вкладку Обновление. Нажмите кнопку Проверить обновления

В случае удачного окончания обновления программа уведомит об этом

В случае если оновление произошло не удачно, попробуйте изменить Сайт обновления и повторить попытку ещё раз.

Перейдите на вкладку Сканер

Выберите пункт Провести полную проверку

Нажмите кнопку Проверить

После этого появится оконо программы, в котором перечисленны все диски и предварительно отмечены диски для проверки. Если вы желаете проверить ещё какой-либо диск (и он действительно подключен к компьютеру) то поставьте галочку слева от него. После этого нажмите кнопку Начать проверку

После окончания проверки программа Вас уведомит об этом.

Нажмите ОК, после этого нажмите на кнопку Показать результаты

После этого в окне будут показаны результаты сканиования. Если Вы видите, что программа заподозрила какую-то программу, которая известна вам как полностью легитимная, то снимите галочку возле строчки и добавьте в исключения.

В противном случае нажмите кнопку Удалить выделенные

После удаления программа проинформирует об этом и предложит перезагрузить компьютер. Соглашаемся, нажимая ОК.

Для того, что бы просмотреть лог, выбираем вкладку Отчёты, там будет представлен весь перечень отчётов. Выбираем отчёт и нажимаем кнопку Открыть. Сохраните его и прикрепите к следующему сообщению.

 

По вашей ссылке не скачивается,по альтернативной скачал,не запускается.

[akoK]

Попробуйте еще раз gmer запустить.

 

А скрипт для combofix, Вы в блокноте сохраняли (имеется в виду стандартный текстовый редактор).

[Drogba]

Попробуйте еще раз gmer запустить.

 

А скрипт для combofix, Вы в блокноте сохраняли (имеется в виду стандартный текстовый редактор).

C вашей ссылки не качается,с 2 других скачал не запускается.Да,в блокноте

 

С помощью друга скачал по вашей ссылке Гмер,тож не открывается.

 

По названию вируса значит,что он через торрент передался?

P2P-Worm.Win32.Agent.ly

 

Ну че поможет кто-нибудь мне?На сайты антивирусных компаний о5 не пускает!

Изменено 15 января, 2009 пользователем Drogba