flirtlights 0 Опубликовано 3 марта, 2009 Share Опубликовано 3 марта, 2009 (изменено) Здравствуйте. Симптомы - системные звуки присутствуют, в приложениях и плеерах - звука нет. при каждой загрузке в панели управления в разделе "звуки" - "не найдены аудиоустройства", заново проставляю галочки под "использовать это устройство" в разделе "оборудование", перегружаюсь и до следующего "спящего режима", перезагрузки всё работает. Дальше - заново те же симптомы. hijackthis.log virusinfo_syscure.htm virusinfo_syscheck.htm gmer.log ComboFix.txt Изменено 3 марта, 2009 пользователем flirtlights Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 3 марта, 2009 Share Опубликовано 3 марта, 2009 Не совсем понятно, почему вы решили, что у Вас Kido. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{740F2BA9-727E-4FB5-8FEB-DFEE32778CAE}'); QuarantineFile('C:\WINDOWS\system32\wiwlib.dll',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\Program Files\Save\Save.exe',''); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\wiwlib.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. 2.Пофиксить в HijackThis следующие строчки ) Повторите логи. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Временно выключите антивирус, firewall и другое защитное программное обеспечение File:: Driver:: Folder:: Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{480b9700-c20f-11dd-819c-001d92f792a9}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83f9a5fd-f3fb-11dd-85c2-001d92f792a9}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be175984-f11c-11dd-85bd-001d92f792a9}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0ac2c26-b19f-11dd-8179-001d92f792a9}] FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Новый отчет ComboFixсохраниться в файл файл C:\ComboFix.txt . Повторите логи АВЗ и HJT. Цитата Ссылка на сообщение Поделиться на другие сайты
flirtlights 0 Опубликовано 3 марта, 2009 Автор Share Опубликовано 3 марта, 2009 (изменено) Спасибо за столь скорый ответ. Докладываю - удалось всё , кроме фиксы Hijacka. у меня не оказалось строчки, помеченной в видео-примере. На указанные мейлы файлы отослал. После перезагрузки windows (combofix) снова слетели аудиоустройства и активные микшеры ((( ЖДУ ДАЛЬНЕЙШИХ УКАЗАНИЙ И ПОКАЗАНИЙ. virusinfo_syscheck.htm virusinfo_syscure.htm hijackthis.log ComboFix.txt gmer.log Изменено 3 марта, 2009 пользователем flirtlights Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 3 марта, 2009 Share Опубликовано 3 марта, 2009 c:\windows\system32\autorun.i и c:\windows\system32\autorun.in привидите содержимое этих 2 файлов. C:\khs - это чего такое? Цитата Ссылка на сообщение Поделиться на другие сайты
flirtlights 0 Опубликовано 3 марта, 2009 Автор Share Опубликовано 3 марта, 2009 c:\windows\system32\autorun.i и c:\windows\system32\autorun.in привидите содержимое этих 2 файлов.C:\khs - это чего такое? Таких файлов (уже) нет. Есть только autorun.inf.vir в папке с:\Qoobox\quarantine\c\windows\system32 и там же лежит помеченный csrcs.exe.vir . Других autorun-ов не найдено.... с:\khs - тоже не обнаружен...... мистика... Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 3 марта, 2009 Share Опубликовано 3 марта, 2009 Я в логах больше ничего подозрительного не вижу. Цитата Ссылка на сообщение Поделиться на другие сайты
flirtlights 0 Опубликовано 4 марта, 2009 Автор Share Опубликовано 4 марта, 2009 Я в логах больше ничего подозрительного не вижу. Для меня это, как приговор..... Знаете, проверялся еще в Тотале - там среди списка антивирусов пару нашло в моих файлах что-то. Сейчас проверю ещё раз и отрапортую. Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 4 марта, 2009 Share Опубликовано 4 марта, 2009 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File:: C:\khs c:\windows\system32\autorun.i c:\windows\system32\autorun.in Driver:: Folder:: C:\khs Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению Проверить на http://www.virustotal.com и линки запостить c:\windows\system32\user32.dll c:\windows\system32\wininet.dll c:\windows\system32\drivers\tcpip.sys c:\windows\explorer.exe c:\windows\system32\ctfmon.exe c:\windows\system32\wuauclt.exe Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Цитата Ссылка на сообщение Поделиться на другие сайты
flirtlights 0 Опубликовано 4 марта, 2009 Автор Share Опубликовано 4 марта, 2009 (изменено) Здравствуйте, спасибо , что откликнулись! Перед репортами добавлю ещё пару наводок. Во-первых сегодня с утра обнаружил wuaclt1.exe, пометил его расширением .vir , теперь появился новый файл wuauclt1.exe и wuauclt.exe тоже есть рядышком........ Также рядом с tcpip.sys есть файл tcpip6.sys .... Подчитал сообщения на форуме товарищей по несчастьям, там есть парень с похожими симптомами, у меня кроме "не найдено аудиоустройств" тоже изменяется скин панели ПУСК на стандартный... после запуска Сombofix вроде сейчас скин, как надо (под Halflife)... http://www.virustotal.com/ru/analisis/ebff...813da22a4245293 http://www.virustotal.com/ru/analisis/9e9e...196a267d2bd7c4a http://www.virustotal.com/ru/analisis/731d...2c14c316fe9fe96 http://www.virustotal.com/ru/analisis/b8e6...dbbc4482a14d6b9 http://www.virustotal.com/ru/analisis/2c86...cd1f6c85e27826e http://www.virustotal.com/ru/analisis/7cfd...a587e2447fa4410 Вот всё, что вы просили. Смиренно жду ответа, о антивирусный гуру и спаситель! ComboFix.zip mbam_log_2009_03_04__18_18_59_.txt Изменено 4 марта, 2009 пользователем flirtlights Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 4 марта, 2009 Share Опубликовано 4 марта, 2009 user32.dll - запакуйте с паролем virus и отправьте newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма. Потом замените на оригинального из дистрибутива. Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processes explorer.exe :Services :Files C:\khs c:\windows\system32\autorun.i c:\windows\system32\autorun.in :Reg :Commands [purity] [emptytemp] [start explorer] [Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Отключите автозапуск Установите: http://www.microsoft.com/technet/security/...n/MS08-067.mspx http://www.microsoft.com/technet/security/...n/ms08-068.mspx http://www.microsoft.com/technet/security/...n/ms09-001.mspx А еще лучше поставьте, то что предложит windows update Проверьтесь У Вас сборка от зверя? Цитата Ссылка на сообщение Поделиться на другие сайты
flirtlights 0 Опубликовано 4 марта, 2009 Автор Share Опубликовано 4 марта, 2009 сборка Звериная. Это что-то меняет? Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 4 марта, 2009 Share Опубликовано 4 марта, 2009 сборка Звериная. Это что-то меняет? Да. Сильно "похаканая" сборка. Реально, что то найти......скажу так в сложных заражениях найти что-то, вредоносное, практически невозможно Цитата Ссылка на сообщение Поделиться на другие сайты
flirtlights 0 Опубликовано 4 марта, 2009 Автор Share Опубликовано 4 марта, 2009 Понятно, дорогой друг. Может действительно борьба за непреустановку Windows не стоит свеч в данной ситуации.... К тому же только что у меня почему-то из всех страниц перестала грузиться именно страница Kaspersky.ru !!!!!!! Пишу с другого компа! Что это, чёрт меня дери? Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 4 марта, 2009 Share Опубликовано 4 марта, 2009 На звере тяжело Kido например лечить....никакие утилиты его не видят....аваст правда при проверке при перезагрузке удаляет Цитата Ссылка на сообщение Поделиться на другие сайты
flirtlights 0 Опубликовано 5 марта, 2009 Автор Share Опубликовано 5 марта, 2009 (изменено) Вчера ночью снёс Систему. Поставил новую. Поставил дрова, звук перестал пропадать, я уже воспрянул духом.... Сегодня включаю комп, снова те же симптомы.... Скин Системы сменился на примитивно стандартный, в Realtek микщере всё спокойно, а в стандартном системном - "активных микшеров не обнаружено", не найдено ни одного аудиоустройства... Установил вместо прежнего AVG - Avast, он у меня нашёл вирусню типа malware и троянов с червями и уже в чистом с:\ и так по винтам...... Прикрепил вам отчёт Avasta, может о чём-то скажет... Кстати, только что подчитал письма пострадавший и нашёл ешё одни симптомы перед сносом системы - меня вдруг перестало пускать к антивирусным сайтам, к вам в частности.... Вот это , блин, уроды , эти вирусонаписаки!Это ж тоже вирус был? Сообщение от модератора wise-wistful Удалил virusinfo_cure - ему не место на форуме mbam_log_2009_03_05__21_49_33_.txt avz_log.txt hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 6 марта, 2009 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.