TRN7 Опубликовано 8 марта, 2009 Опубликовано 8 марта, 2009 (изменено) После сбоя в работе, перезагрузил комп кнопочкй Reset(т.к. на экране был только фоновый рисунок раб.стола, а все остальное пропало, и ни одна команда не выполнялась при помощи горячих клавиш, но крусор реагировал.. что странно) все настройки видеокарты сбились - на самое минимальное разррешение и 4х битную графику(но это я устранил). А каспер перстал загружаться, никаких ошибок не вываливается, просто ничего не просиходит. Пробовал переустановить - все по прежнему, за исключением таво что до переустановки процесс AVP.exe выполнялся, а в диспетчере процессов было даже несколько... после переустановки этот процесс вообще нигде не фиксируется.. Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти.. Вообщем чтото по всей видимости блокирует запуск Каспера... Ниже как и условлено логи virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Сообщение от модератора MedvedevUnited Тема перемещена из раздела "Помощь по продуктам". Изменено 8 марта, 2009 пользователем MedvedevUnited
thyrex Опубликовано 8 марта, 2009 Опубликовано 8 марта, 2009 (изменено) После сбоя в работе... Также появилась проблема при входе в свой профиль - просто виснет намертво процесс входа и все, из 10ти - 1 раз получится войти.. Вообщем чтото по всей видимости блокирует запуск Каспера... Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр 1. Выполните скрипт в AVZ begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('gjnysf.dll',''); QuarantineFile('C:\WINDOWS\system32\lagifije.dll',''); QuarantineFile('c:\windows\system32\labujiku.dll',''); QuarantineFile('c:\windows\system32\loyayono.dll',''); QuarantineFile('C:\WINDOWS\system32\ljJYPgEu.dll',''); QuarantineFile('C:\WINDOWS\system32\gjnysf.dll',''); QuarantineFile('C:\WINDOWS\system32\wowuputi.dll',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); DeleteFile('C:\WINDOWS\system32\wowuputi.dll'); DeleteFile('C:\WINDOWS\system32\gjnysf.dll'); DeleteFile('C:\WINDOWS\system32\ljJYPgEu.dll'); DeleteFile('c:\windows\system32\loyayono.dll'); DeleteFile('c:\windows\system32\labujiku.dll'); DeleteFile('C:\WINDOWS\system32\lagifije.dll'); DeleteFile('gjnysf.dll'); DelBHO('{dddb6c7c-976e-4a47-ab95-35255b5b4370}'); DelBHO('{c42c59ac-0c3d-4a5e-aaad-6a054869843b}'); DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. 2. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный отвеит сообщите здесь. 3. Пофиксите в HiJack O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ljJYPgEu.dll (file missing) O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\ Если эти настройки DNS не ваши, тогда еще и эти O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 Логи повторите Изменено 9 марта, 2009 пользователем thyrex
TRN7 Опубликовано 9 марта, 2009 Автор Опубликовано 9 марта, 2009 (изменено) thyrex А смысл отправлять quarantine.rar? Он пустой.. И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =) Изменено 9 марта, 2009 пользователем TRN7
thyrex Опубликовано 9 марта, 2009 Опубликовано 9 марта, 2009 (изменено) thyrexА смысл отправлять quarantine.rar? Он пустой.. И как определить моили эти настройки?(пункт 3ий) икстати, при запуске вннды выдает ошибку что не найдет этот самый sokimafi.dll я его зря удалил? или что? или как? =) Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore UkrTeleGroup ваш провайдер? Если нет, узнайте правильные настройки у вашего провайдера. Повторите логи. Сделайте дополнительно лог gmer. Запустите - после быстрой проверки отметьте птичками все пункты справа - нажмите Scan. После завершения процесса сохраните результат в файл и выложите здесь Изменено 9 марта, 2009 пользователем thyrex
TRN7 Опубликовано 9 марта, 2009 Автор Опубликовано 9 марта, 2009 thyrex извини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore" На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи. PS: Спасибо за то что стараетесь помочь
thyrex Опубликовано 9 марта, 2009 Опубликовано 9 марта, 2009 (изменено) thyrexизвини, но бэкап у меня пуст и вот ето поэтому выполнить немогу "Запустите HiJack. Выберите View the list of backups. Отметьте пункт O4 - HKUS\S-1-5-20\..\Run: [pawafibibu] Rundll32.exe "C:\WINDOWS\system32\sokimafi.dll",s (User 'NETWORK SERVICE') Нажмите Restore" На счет gmer. В данный момент он сканирует систему, сканирование началось самостоятельно, это на долго... завтра прикреплю все логи. PS: Спасибо за то что стараетесь помочь А с этим C:\WINDOWS\system32\sokimafi.dll я, кажется, все-таки не ошибся. Червячок. А вы фиксили строчку в HiJack или просто его удалили?И вы не ответили на счет провайдера: UkrTeleGroup ваш провайдер? Изменено 10 марта, 2009 пользователем thyrex
TRN7 Опубликовано 10 марта, 2009 Автор Опубликовано 10 марта, 2009 (изменено) thyrex Чесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала... Мой провайдер - ВолгаТелеком Gmer при начале сканирования пишет сразу про деятельность РутКит'а Вот логи: hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip gmer.log Изменено 10 марта, 2009 пользователем TRN7
thyrex Опубликовано 10 марта, 2009 Опубликовано 10 марта, 2009 (изменено) thyrexЧесн говоря уже не вспомню через какую программу я удалил ту библиотеку, возможно(если это возможно) через avz И раньше такая ошибка появлялась(о нехватке sokimafi.dll), это случалось после очередной чиcтки Каспером всех троянов, руткитов, вирусов и т.п. и т.д. но потом эта ошибка исчезала... Мой провайдер - ВолгаТелеком Ах вот оно что. Ну по крайней мере вздохнуть можно, что не я эту dll-ку унес.Продолжаем лечение Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр 1. Выполните скрипт в AVZ SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys',''); QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll',''); QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys',''); QuarantineFile('C:\WINDOWS\system32\gaopdxcounter',''); QuarantineFile('gaopdxserv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys',''); QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys',''); QuarantineFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys',''); QuarantineFile('C:\WINDOWS\system32\wowuputi.bak',''); QuarantineFile('C:\WINDOWS\system32\sokimafi.bak',''); QuarantineFile('C:\WINDOWS\system32\lagifije.bak',''); QuarantineFile('C:\WINDOWS\system32\fedozuta.bak',''); DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys'); DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll'); DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxlyctojqs.sys'); DeleteFile('C:\WINDOWS\system32\gaopdxcounter'); DeleteFile('gaopdxserv.sys'); DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys'); DeleteService('gaopdxserv'); DeleteService('gaopdxserv.sys'); DeleteFile('C:\WINDOWS\system32\fedozuta.bak'); DeleteFile('C:\WINDOWS\system32\lagifije.bak'); DeleteFile('C:\WINDOWS\system32\sokimafi.bak'); DeleteFile('C:\WINDOWS\system32\wowuputi.bak'); DeleteFile('C:\DOCUME~1\7EFA~1\LOCALS~1\Temp\wdaaxlaj.sys'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); 2. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь. 3. Пофиксите в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{4403BD7D-10A9-453F-A489-A94E4458B7C6}: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40 O20 - Winlogon Notify: ljJYPgEu - C:\WINDOWS\ Повторите логи AVZ, HiJack, gmer Изменено 10 марта, 2009 пользователем thyrex
TRN7 Опубликовано 11 марта, 2009 Автор Опубликовано 11 марта, 2009 (изменено) Письмо отправил, ждем ответа. Каспер стал запускаться, ура! Gmer все также пишет о деятельности РутКит'а Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log gmer.log Изменено 11 марта, 2009 пользователем TRN7
thyrex Опубликовано 11 марта, 2009 Опубликовано 11 марта, 2009 (изменено) Письмо отправил, ждем ответа. Каспер стал запускаться, ура! Gmer все также пишет о деятельности РутКит'а Прислали ответ, я не правильно оформил письмо, надо было пароль infected поставить=) а я Virus Повторно отсылали?Временно выключите антивирус, firewall и другое защитное программное обеспечение. Включите брандмауэр 1. Выполните скрипт в AVZ begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('\systemroot\system32\drivers\gaopdxdylqppas.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys',''); QuarantineFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll',''); QuarantineFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll',''); QuarantineFile('gaopdxserv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys',''); QuarantineFile('\systemroot\system32\drivers\gaopdxserv.sys',''); QuarantineFile('c:\windows\system32\dokigera.dll',''); DeleteFile('\systemroot\system32\drivers\gaopdxdylqppas.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys'); DeleteFile('\globalroot\systemroot\system32\gaopdxpmbivasw.dll'); DeleteFile('C:\WINDOWS\system32\gaopdxpmbivasw.dll'); DeleteFile('gaopdxserv.sys'); DeleteFile('\systemroot\system32\drivers\gaopdxserv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\gaopdxserv.sys'); DeleteFile('c:\windows\system32\dokigera.dll'); DeleteService('gaopdxserv'); DeleteService('gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet002\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet003\Services\gaopdxserv.sys'); RegKeyDel('HKLM','SYSTEM\ControlSet005\Services\gaopdxserv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('gaopdxserv.sys'); BC_Activate; RebootWindows(true); end. 2. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив infected. Полученный ответ сообщите здесь. Повторите все логи Изменено 11 марта, 2009 пользователем thyrex 1
TRN7 Опубликовано 11 марта, 2009 Автор Опубликовано 11 марта, 2009 thyrex Да, сразуже отослал повторно. Нужноли выполнять скрипт в AVZ?
thyrex Опубликовано 11 марта, 2009 Опубликовано 11 марта, 2009 thyrexДа, сразуже отослал повторно. Нужноли выполнять скрипт в AVZ? Да, это новый скрипт. Частично зараза уничтожилась.Не забудьте после повторить все логи
Kapral Опубликовано 11 марта, 2009 Опубликовано 11 марта, 2009 (изменено) Часть постов выделено в Хелперы Изменено 11 марта, 2009 пользователем Kapral
akoK Опубликовано 11 марта, 2009 Опубликовано 11 марта, 2009 Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Повторите логи.
TRN7 Опубликовано 11 марта, 2009 Автор Опубликовано 11 марта, 2009 (изменено) Во время скана gmer'ом вылетает хард-корная ошибка(или синий экран смерти....) Два раза запускал тестирование и два раза так случалось. http://keep4u.ru/full/2009/03/11/bbf3e4b530be2e31e6/jpg http://keep4u.ru/full/2009/03/11/b9b2db035d2f5dac0e/jpg akoK Нужноли кроме диска на которм установлена винда проверять все остальные? их несколько и это вся полная проверка займет день(я не приувеличиваю) Выкладываю на всякий логи AVZ и HijackThis, gmer'ский лог еще не получился...(причина выше) hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Вот лог проверки Malwarebytes' Anti-Malware диска С(на нем Винда уст-на) до удаления mbam_log_2009_03_11__19_09_42_.txt после удаления mbam_log_2009_03_11__19_13_29_.txt Изменено 11 марта, 2009 пользователем TRN7
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти