oz_odessa 0 Опубликовано 4 февраля, 2009 Share Опубликовано 4 февраля, 2009 (изменено) Всем проверил ни чего не помогает все время выскакивает эта ошибка Сообщение от модератора Kapral Удалил карантин hijackthis.log virusinfo_syscheck.zip Изменено 4 февраля, 2009 пользователем Kapral Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 4 февраля, 2009 Share Опубликовано 4 февраля, 2009 virusinfo_cure.zip - карантин уберите. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\athr.sys',''); QuarantineFile('c:\windows\system32\regsvr.exe',''); DeleteFile('c:\windows\system32\regsvr.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); BC_ImportALL; ExecuteRepair(6); ExecuteRepair(16); BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: Shell=Explorer.exe regsvr.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe Обновите базы AVZ и повторите логи. Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
oz_odessa 0 Опубликовано 4 февраля, 2009 Автор Share Опубликовано 4 февраля, 2009 (изменено) После скрипта повторил логи hijackthis.log info.txt log.txt virusinfo_syscheck.zip Изменено 4 февраля, 2009 пользователем oz_odessa Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 4 февраля, 2009 Share Опубликовано 4 февраля, 2009 Карантины уберите из прикрепленных файлов. Цитата Ссылка на сообщение Поделиться на другие сайты
oz_odessa 0 Опубликовано 4 февраля, 2009 Автор Share Опубликовано 4 февраля, 2009 где их убрать в программе avz4? Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 4 февраля, 2009 Share Опубликовано 4 февраля, 2009 нет, в сообщениях на форуме, нажмите "Изменить" - "Полное редактирование", удалите файлы quarantine.zip и virusinfo_cure.zip. Цитата Ссылка на сообщение Поделиться на другие сайты
oz_odessa 0 Опубликовано 4 февраля, 2009 Автор Share Опубликовано 4 февраля, 2009 удалил, просто обычно меня просили выставлять все логи. После выполненных скриптов ошибка не появлялась Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 4 февраля, 2009 Share Опубликовано 4 февраля, 2009 Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end. Пофиксите: O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=about:blank O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll Поищите этот файл с помощью AVZ(Сервис - Поиск файлов на диске): C:\DOCUME~1\admin\LOCALS~1\Temp\RtkBtMnt.exe Проверьте на Virustotal.com. Повторите логи (3 лога: virusinfo_syscheck.zip, virusinfo_syscure.zip и лог HJT). Цитата Ссылка на сообщение Поделиться на другие сайты
oz_odessa 0 Опубликовано 4 февраля, 2009 Автор Share Опубликовано 4 февраля, 2009 Проверил на сайте Файл RtkBtMnt.exe получен 2009.02.04 16:53:55 (CET) Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО Результат: 0/39 (0%) hijackthis.log virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 4 февраля, 2009 Share Опубликовано 4 февраля, 2009 Включите то, что отключили через msconfig и повторите логи. Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processes explorer.exe :Services :Files C:\WINDOWS\system32\28463 C:\Program Files\AdVantage\AdVantage.exe C:\WINDOWS\system32\amvo.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e5adacc-0a17-11dd-805d-001b38685893}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c041094-a4f8-11dd-80de-001b38685893}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c041095-a4f8-11dd-80de-001b38685893}] :Commands [purity] [emptytemp] [start explorer] [Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. virusinfo_cure.zip опять? Нам нужен лог syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
oz_odessa 0 Опубликовано 5 февраля, 2009 Автор Share Опубликовано 5 февраля, 2009 (изменено) ========== PROCESSES ========== Process explorer.exe killed successfully. ========== SERVICES/DRIVERS ========== ========== FILES ========== File/Folder C:\WINDOWS\system32\28463 not found. File/Folder C:\Program Files\AdVantage\AdVantage.exe not found. File/Folder C:\WINDOWS\system32\amvo.exe not found. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e5adacc-0a17-11dd-805d-001b38685893}\\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c041094-a4f8-11dd-80de-001b38685893}\\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c041095-a4f8-11dd-80de-001b38685893}\\ not found. ========== COMMANDS ========== File delete failed. C:\DOCUME~1\admin\LOCALS~1\Temp\etilqs_UgHdhPnoebS2LQLTyCbw scheduled to be deleted on reboot. User's Temp folder emptied. User's Temporary Internet Files folder emptied. User's Internet Explorer cache folder emptied. Local Service Temp folder emptied. File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. Local Service Temporary Internet Files folder emptied. Windows Temp folder emptied. File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\Cache\_CACHE_001_ scheduled to be deleted on reboot. File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\Cache\_CACHE_002_ scheduled to be deleted on reboot. File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\Cache\_CACHE_003_ scheduled to be deleted on reboot. File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot. File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\urlclassifier3.sqlite scheduled to be deleted on reboot. File delete failed. C:\Documents and Settings\admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\1uiu6025.default\XUL.mfl scheduled to be deleted on reboot. FireFox cache emptied. Temp folders emptied. Explorer started successfully OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02052009_100816 virusinfo_syscure.zip Изменено 5 февраля, 2009 пользователем oz_odessa Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 5 февраля, 2009 Share Опубликовано 5 февраля, 2009 Очистите планировщик задач. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.