Перейти к содержанию
Авторизация  
Shm

[Лог?] Digeste.dll какой-то вирус

Рекомендуемые сообщения

Начну из далека.

Меньше года назад был куплен антивир касперского с лицензеей на три компа. Но мне был куплен на ДР новый комп и поставлена новая система, старый был распатрашён на винчестеры и прочую лабуду. И лицензионный Касперский остался на нерабочей машине. На новую я так его и не поставил, тк не знал будут ли проблемы с регистрацией лицензии (уже три лицензии должны были быть зарегестрированны)

Вся защита у компа была отключена , тк брэндмауэр постоянно лезет и что то обновляет без маего ведома, а я не знаю лицензионный ли у меня виндоус. Короче пол года комп проработал нормально и главное быстро без всяких антивиров и защит....

Но всё же комп заразился какимто трояном и теперь либо синий экран если ставлю автоматическая перезагрузку при сбое системы отменить или псстоянная перезагрузка. И ногда успеваю нажать cntrl+alt+del ну чаще загрузка не завешается.

У меня winXP SP2

Описание:

Позваляет загрузится в защищённом режиме (с него и пмишу)

Сначало выдавал сообщение из разных exe файлов

приложение *.exe

digeste.dll что то там не является приложением WIN NT (((

Я переименовал эту библиотеку сообщение пропало но синний экран не изчез(помимо этого я удалил пару записей в которых упоменалось digeste.dll в реестре , при помощи regedit + cntrl F)

msconfig - во вкладке авто загрузка не знакомые мне процессы снял галки с подозрительных

(мне показались подозрительными

c:\windows\system32\leafsi.exe \u

c:\windows\cjtpkmpc\exe

c:\windows\system32\ctfmon.exe

иещё несколько....

)

 

Мой каспер 2007 не хочет ставится а загрузится в норм режиме не могу.

Переустановка виндовса не помогает (3 раза переустанавливал ) - теже яйца только в профиль- комп перезагружается нонстопом при загрузке при первом входе(наверно если я отформатирую диск ц всё починится но - не хочется этого делать я забыл как сеть настраивать (( ).

 

посоветуйте что сделать ?

кстати как поступить с лицензионным каспером2007 который уже зарегестрирован на трёх машинах (но на одной я хочу отменить регистрацию и машина то сама разобрана )

Изменено пользователем wise-wistful

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сообщение от модератора wise-wistful
Тема перемещена из раздела Компьютерная помощь

Для начала борьбы с вирусами выполните логи, как написано в этой теме.

Изменено пользователем wise-wistful

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вот такие логи получились см в самом низу

Онлайн Касперский сказал следующее:

 

--------------------------------------

ОТЧЕТ KASPERSKY ONLINE SCANNER

25 Январь 2009 г. 15:47:06

Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Версия Kaspersky Online Scanner: 5.0.98.1

Последнее обновление антивирусных баз: 25/01/2009

Число записей в антивирусных базах: 1693487

 

Параметры проверки

Проверять, используя следующий набор антивирусных баз расширенный набор

Проверять архивы да

Проверять почтовые базы да

 

Объект проверки Оперативная Память

 

 

Результаты проверки

Всего проверено объектов 1161

Найдено вирусов 3

Найдено зараженных объектов 21

Найдено подозрительных объектов 0

Время проверки 00:00:17

 

Имя зараженного объекта Имя вируса Последнее действие

[0] [system Process] => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[676] winlogon.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[676] winlogon.exe => C:\WINDOWS\system32\crypts.dll Зараженный объект: Trojan.Win32.Agent.bjvs пропустить

 

[728] services.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[740] lsass.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[888] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[944] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1152] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1180] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1288] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1740] Explorer.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[808] TimeZero.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1468] IEXPLORE.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[272] magent.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1432] IEXPLORE.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[156] rundll32.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[980] AA44.tmp => C:\WINDOWS\TEMP\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

 

[980] AA44.tmp => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[1344] ps.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

[184] AA44.tmp => C:\WINDOWS\TEMP\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

 

[184] AA44.tmp => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

Проверка завершена.

 

--------------------------------------

 

ОТЧЕТ KASPERSKY ONLINE SCANNER

25 Январь 2009 г. 15:46:09

Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Версия Kaspersky Online Scanner: 5.0.98.1

Последнее обновление антивирусных баз: 25/01/2009

Число записей в антивирусных базах: 1693487

 

 

Параметры проверки

Проверять, используя следующий набор антивирусных баз расширенный набор

Проверять архивы да

Проверять почтовые базы да

 

Объект проверки Важные объекты

C:\WINDOWS

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\

 

Результаты проверки

Всего проверено объектов 12457

Найдено вирусов 9

Найдено зараженных объектов 12

Найдено подозрительных объектов 0

Время проверки 00:04:34

 

Имя зараженного объекта Имя вируса Последнее действие

C:\WINDOWS\system32\config\system.LOG Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\software.LOG Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\default.LOG Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SECURITY Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SAM Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SECURITY.LOG Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SAM.LOG Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\AppEvent.Evt Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SecEvent.Evt Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SysEvent.Evt Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SYSTEM Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\SOFTWARE Объект заблокирован пропустить

 

C:\WINDOWS\system32\config\DEFAULT Объект заблокирован пропустить

 

C:\WINDOWS\system32\drivers\systemntmi.sys Зараженный объект: Rootkit.Win32.Agent.grg пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Объект заблокирован пропустить

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Объект заблокирован пропустить

 

C:\WINDOWS\system32\digeste_virus.dll Зараженный объект: Backdoor.Win32.Small.hip пропустить

 

C:\WINDOWS\system32\CatRoot2\edb.log Объект заблокирован пропустить

 

C:\WINDOWS\system32\CatRoot2\tmp.edb Объект заблокирован пропустить

 

C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить

 

C:\WINDOWS\system32\leafsi.exe Зараженный объект: Email-Worm.Win32.Agent.kj пропустить

 

C:\WINDOWS\system32\wpv661232659547.cpx Зараженный объект: Trojan.Win32.Agent2.xn пропустить

 

C:\WINDOWS\system32\wpv521232642331.cpx Зараженный объект: Trojan.Win32.Agent.bkpw пропустить

 

C:\WINDOWS\system32\crypts.dll Зараженный объект: Trojan.Win32.Agent.bjvs пропустить

 

C:\WINDOWS\system32\cssrss.exe Зараженный объект: Trojan.Win32.Agent2.xn пропустить

 

C:\WINDOWS\Temp\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

 

C:\WINDOWS\Temp\86AF.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

 

C:\WINDOWS\Debug\PASSWD.LOG Объект заблокирован пропустить

 

C:\WINDOWS\cjtpkmpc.exe Зараженный объект: Trojan-Downloader.Win32.Small.agbh пропустить

 

C:\WINDOWS\msauc.exe Зараженный объект: Trojan.Win32.Agent.bkpw пропустить

 

C:\WINDOWS\CSC\00000001 Объект заблокирован пропустить

 

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\index.dat Объект заблокирован пропустить

 

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Cookies\index.dat Объект заблокирован пропустить

 

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\History\History.IE5\index.dat Объект заблокирован пропустить

 

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\History\History.IE5\MSHist012009012520090126\index.dat Объект заблокирован пропустить

 

C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\~DF3D70.tmp Объект заблокирован пропустить

 

Проверка завершена.

-----------------------------------------------------

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Shm

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполнить в AVZ следующий скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('ethvryxs');
DeleteService('gdrv');
DeleteService('systemntmi');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system32\mmmkwnkw.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ethvryxs.sys');
DeleteFile('C:\WINDOWS\gdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe');
DeleteFile('C:\Documents and Settings\Администратор\ash.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_ImportDeletedList;
BC_DeleteSvc('ethvryxs ');
BC_DeleteSvc('gdrv ');
BC_DeleteSvc('systemntmi ');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем пофиксить через HJT:

O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmkwnkw.dll
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll

Логи повторить.

Изменено пользователем Falcon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1) Большое спасибо за помощь.

Смог загрузится. ТОлько теперь грузится учётная запись созданная при переустановке Windows (я её назвал SHM а не учётная запись под названием Администратор не знаю правда как сделать чтобы грузилась учётная запись Администратор в папке document and settings папка Администратор есть ....)

В IE explorer грузитчся сверху какаято бяка - картинка gif c уродством каким то и спредложением отправить смс на номер 3649 с текстом .... ну вообще IE explorer работает плохо((( например на форум пишу с другого браузера... с IE explorer написать не смог расширенная форма ответа не хотела работать

Спасибо всем если есть чего подсказать с удовольствием выслушаю совет, ещё раз спасибо

-------------------------------------------------------------------------------

ОТЧЕТ KASPERSKY ONLINE SCANNER

25 Январь 2009 г. 19:54:07

Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Версия Kaspersky Online Scanner: 5.0.98.1

Последнее обновление антивирусных баз: 25/01/2009

Число записей в антивирусных базах: 1694764

-------------------------------------------------------------------------------

 

Параметры проверки:

Проверять, используя следующий набор антивирусных баз: расширенный набор

Проверять архивы: да

Проверять почтовые базы: да

 

Объект проверки - Важные объекты:

C:\WINDOWS

C:\DOCUME~1\Shm\LOCALS~1\Temp\

 

Результаты проверки:

Всего проверено объектов: 10449

Найдено вирусов: 5

Найдено зараженных объектов: 8

Найдено подозрительных объектов: 0

Время проверки: 00:04:02

 

Имя зараженного объекта / Имя вируса / Последнее действие

C:\WINDOWS\system32\config\system.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\software.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\default.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\SECURITY Объект заблокирован пропустить

C:\WINDOWS\system32\config\SAM Объект заблокирован пропустить

C:\WINDOWS\system32\config\SECURITY.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\SAM.LOG Объект заблокирован пропустить

C:\WINDOWS\system32\config\AppEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\SecEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\SysEvent.Evt Объект заблокирован пропустить

C:\WINDOWS\system32\config\SYSTEM Объект заблокирован пропустить

C:\WINDOWS\system32\config\SOFTWARE Объект заблокирован пропустить

C:\WINDOWS\system32\config\DEFAULT Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Объект заблокирован пропустить

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Объект заблокирован пропустить

C:\WINDOWS\system32\digeste_virus.dll Зараженный объект: Backdoor.Win32.Small.hip пропустить

C:\WINDOWS\system32\CatRoot2\edb.log Объект заблокирован пропустить

C:\WINDOWS\system32\CatRoot2\tmp.edb Объект заблокирован пропустить

C:\WINDOWS\system32\CatRoot2\edbtmp.log Объект заблокирован пропустить

C:\WINDOWS\system32\h323log.txt Объект заблокирован пропустить

C:\WINDOWS\system32\log.txt Объект заблокирован пропустить

C:\WINDOWS\system32\leafsi.exe Зараженный объект: Email-Worm.Win32.Agent.kj пропустить

C:\WINDOWS\system32\wpv661232659547.cpx Зараженный объект: Trojan.Win32.Agent2.xn пропустить

C:\WINDOWS\system32\wpv521232642331.cpx Зараженный объект: Trojan.Win32.Agent.bkpw пропустить

C:\WINDOWS\Temp\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

C:\WINDOWS\Temp\2430.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

C:\WINDOWS\Temp\atchksrv.log Объект заблокирован пропустить

C:\WINDOWS\Temp\atchk.log Объект заблокирован пропустить

C:\WINDOWS\Temp\86AF.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить

C:\WINDOWS\Debug\PASSWD.LOG Объект заблокирован пропустить

C:\WINDOWS\Sti_Trace.log Объект заблокирован пропустить

C:\WINDOWS\wiaservc.log Объект заблокирован пропустить

C:\WINDOWS\wiadebug.log Объект заблокирован пропустить

C:\WINDOWS\WindowsUpdate.log Объект заблокирован пропустить

C:\WINDOWS\SchedLgU.Txt Объект заблокирован пропустить

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Объект заблокирован пропустить

C:\WINDOWS\msauc.exe Зараженный объект: Trojan.Win32.Agent.bkpw пропустить

 

Проверка завершена.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

C:\Documents and Settings\Администратор\ash.exe - проверьте на http://www.virustotal.com/ru/ дайте ссылку на результат проверки.

 

Очистите папки содержащие временные файлы.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7E3EDD51-48FD-40F2-ACE4-0D2D9F2889AE}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\wxilib.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\wxilib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

 

Повторите логи.

 

Онлайн сканирвоание проводить не обязательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...