TRN7 0 Опубликовано 8 марта, 2009 Share Опубликовано 8 марта, 2009 (изменено) После сбоя в работе, перезагрузил комп кнопочкй Reset(т.к. на экране был только фоновый рисунок раб.стола, а все остальное пропало, и ни одна команда не выполнялась при помощи горячих клавиш, но крусор реагировал.. что странно) все настройки видеокарты сбились - на самое минимальное разррешение и 4х битную графику(но это я устранил). А каспер перстал загружаться, никаких ошибок не вываливается, просто ничего не просиходит. Пробовал переустановить - все по прежнему, за исключением таво что до переустановки процесс AVP.exe выполнялся, а в диспетчере процессов было даже несколько... после переустановки этот процесс вообще нигде не фиксируется.. Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти.. Вообщем чтото по всей видимости блокирует запуск Каспера... Ниже как и условлено логи virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Сообщение от модератора MedvedevUnited Тема перемещена из раздела "Помощь по продуктам". Изменено 8 марта, 2009 пользователем MedvedevUnited Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 228 Опубликовано 8 марта, 2009 Share Опубликовано 8 марта, 2009 (изменено) После сбоя в работе... Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти.. Вообщем чтото по всей видимости блокирует запуск Каспера... Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр 1. Выполните скрипт в AVZ begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('gjnysf.dll',''); QuarantineFile('C:\WINDOWS\system32\lagifije.dll',''); QuarantineFile('c:\windows\system32\labujiku.dll',''); QuarantineFile('c:\windows\system32\loyayono.dll',''); QuarantineFile('C:\WINDOWS\system32\ljJYPgEu.dll',''); QuarantineFile('C:\WINDOWS\system32\gjnysf.dll',''); QuarantineFile('C:\WINDOWS\system32\wowuputi.dll',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); DeleteFile('C:\WINDOWS\system32\wowuputi.dll'); DeleteFile('C:\WINDOWS\system32\gjnysf.dll'); DeleteFile('C:\WINDOWS\system32\ljJYPgEu.dll'); DeleteFile('c:\windows\system32\loyayono.dll'); DeleteFile('c:\windows\system32\labujiku.dll'); DeleteFile('C:\WINDOWS\system32\lagifije.dll'); DeleteFile('gjnysf.dll'); DelBHO('{dddb6c7c-976e-4a47-ab95-35255b5b4370}'); DelBHO('{c42c59ac-0c3d-4a5e-aaad-6a054869843b}'); DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. 2. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный отвеит сообщите здесь. 3. Пофиксите в HiJack O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ljJYPgEu.dll (file missing) O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\ Если эти настройки DNS не ваши, тогда еще и эти O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 Логи повторите Изменено 9 марта, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
TRN7 0 Опубликовано 9 марта, 2009 Автор Share Опубликовано 9 марта, 2009 (изменено) thyrex А смысл отправлять quarantine.rar? Он пустой.. И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =) Изменено 9 марта, 2009 пользователем TRN7 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 228 Опубликовано 9 марта, 2009 Share Опубликовано 9 марта, 2009 (изменено) thyrexА смысл отправлять quarantine.rar? Он пустой.. И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =) Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore UkrTeleGroup ваш провайдер? Если нет, узнайте правильные настройки у вашего провайдера. Повторите логи. Сделайте дополнительно лог gmer. Запустите - после быстрой проверки отметьте птичками все пункты справа - нажмите Scan. После завершения процесса сохраните результат в файл и выложите здесь Изменено 9 марта, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
TRN7 0 Опубликовано 9 марта, 2009 Автор Share Опубликовано 9 марта, 2009 thyrex извини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore" На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи. PS: Спасибо за то что стараетесь помочь Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 228 Опубликовано 9 марта, 2009 Share Опубликовано 9 марта, 2009 (изменено) thyrexизвини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore" На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи. PS: Спасибо за то что стараетесь помочь А с этим C:\WINDOWS\system32\sokimafi.dll я, кажется, все-таки не ошибся. Червячок. А вы фиксили строчку в HiJack или просто его удалили?И вы не ответили на счет провайдера: UkrTeleGroup ваш провайдер? Изменено 10 марта, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
TRN7 0 Опубликовано 10 марта, 2009 Автор Share Опубликовано 10 марта, 2009 (изменено) thyrex Чесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала... Мой провайдер - ВолгаТелеком Gmer при начале сканирования пишет сразу про деятельность РутКит'а Вот логи: hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip gmer.log Изменено 10 марта, 2009 пользователем TRN7 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 228 Опубликовано 10 марта, 2009 Share Опубликовано 10 марта, 2009 (изменено) thyrexЧесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала... Мой провайдер - ВолгаТелеком Ах вот оно что. Ну по крайней мере вздохнуть можно, что не я эту dll-ку унес.Продолжаем лечение Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр 1. Выполните скрипт в AVZ SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys',''); QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll',''); QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys',''); QuarantineFile('C:\WINDOWS\system32\gaopdxcounter',''); QuarantineFile('gaopdxserv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys',''); QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys',''); QuarantineFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys',''); QuarantineFile('C:\WINDOWS\system32\wowuputi.bak',''); QuarantineFile('C:\WINDOWS\system32\sokimafi.bak',''); QuarantineFile('C:\WINDOWS\system32\lagifije.bak',''); QuarantineFile('C:\WINDOWS\system32\fedozuta.bak',''); DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys'); DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll'); DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys'); DeleteFile('C:\WINDOWS\system32\gaopdxcounter'); DeleteFile('gaopdxserv.sys'); DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys'); DeleteService('gaopdxserv'); DeleteService('gaopdxserv.sys'); DeleteFile('C:\WINDOWS\system32\fedozuta.bak'); DeleteFile('C:\WINDOWS\system32\lagifije.bak'); DeleteFile('C:\WINDOWS\system32\sokimafi.bak'); DeleteFile('C:\WINDOWS\system32\wowuputi.bak'); DeleteFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); 2. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь. 3. Пофиксите в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\ Повторите логи AVZ, HiJack, gmer Изменено 10 марта, 2009 пользователем thyrex Цитата Ссылка на сообщение Поделиться на другие сайты
TRN7 0 Опубликовано 11 марта, 2009 Автор Share Опубликовано 11 марта, 2009 (изменено) Письмо отправил, ждем ответа. Каспер стал запускаться, ура! Gmer все также пишет о деятельности РутКит'а Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log gmer.log Изменено 11 марта, 2009 пользователем TRN7 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 228 Опубликовано 11 марта, 2009 Share Опубликовано 11 марта, 2009 (изменено) Письмо отправил, ждем ответа. Каспер стал запускаться, ура! Gmer все также пишет о деятельности РутКит'а Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus Повторно отсылали?Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр 1. Выполните скрипт в AVZ begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys',''); QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll',''); QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll',''); QuarantineFile('gaopdxserv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys',''); QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys',''); QuarantineFile('c:\windows\system32\dokigera.dll',''); DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys'); DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll'); DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll'); DeleteFile('gaopdxserv.sys'); DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys'); DeleteFile('c:\windows\system32\dokigera.dll'); DeleteService('gaopdxserv'); DeleteService('gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('gaopdxserv.sys'); BC_Activate; RebootWindows(true); end. 2. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив infected. Полученный ответ сообщите здесь. Повторите все логи Изменено 11 марта, 2009 пользователем thyrex 1 Цитата Ссылка на сообщение Поделиться на другие сайты
TRN7 0 Опубликовано 11 марта, 2009 Автор Share Опубликовано 11 марта, 2009 thyrex Да, сразуже отослал повторно. Нужноли выполнять скрипт в AVZ? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 228 Опубликовано 11 марта, 2009 Share Опубликовано 11 марта, 2009 thyrexДа, сразуже отослал повторно. Нужноли выполнять скрипт в AVZ? Да, это новый скрипт. Частично зараза уничтожилась.Не забудьте после повторить все логи Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 487 Опубликовано 11 марта, 2009 Share Опубликовано 11 марта, 2009 (изменено) Часть постов выделено в Хелперы Изменено 11 марта, 2009 пользователем Kapral Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 125 Опубликовано 11 марта, 2009 Share Опубликовано 11 марта, 2009 Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
TRN7 0 Опубликовано 11 марта, 2009 Автор Share Опубликовано 11 марта, 2009 (изменено) Во время скана gmer'ом вылетает хард-корная ошибка(или синий экран смерти....) Два раза запускал тестирование и два раза так случалось. http://keep4u.ru/full/2009/03/11/bbf3e4b530be2e31e6/jpg http://keep4u.ru/full/2009/03/11/b9b2db035d2f5dac0e/jpg akoK Нужноли кроме диска на которм установлена винда проверять все остальные? их несколько и это вся полная проверка займет день(я не приувеличиваю) Выкладываю на всякий логи AVZ и HijackThis, gmer'ский лог еще не получился...(причина выше) hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Вот лог проверки Malwarebytes' Anti-Malware диска С(на нем Винда уст-на) до удаления mbam_log_2009_03_11__19_09_42_.txt после удаления mbam_log_2009_03_11__19_13_29_.txt Изменено 11 марта, 2009 пользователем TRN7 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.