Alexey_I 5 Опубликовано 11 марта, 2009 Share Опубликовано 11 марта, 2009 МВАМ хорошо поработал, можете еще провериться с помощью VundoFix. Пофиксите в HJT R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://swa.mail.ru/cgi-bin/auth?Login=taurusnekron7@mail.ru&agent=1222176660I95345363&page=http://r.mail.ru:80/cln3587/my.mail.ru/mail/niko_22-95/?lang=ru&ver=2349&agentlang=ru (obfuscated) O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file) O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file) Строчку O20 - AppInit_DLLs: ???pc:\windows\system32\dokigera.dll C:\PROGRA~1\KASPER~1\KASPER~3\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~3\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~3\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~3\kloehk.dll можно пофиксить и восстановить ключи касперского твиком реестра Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~3\\mzvkbd.dll,C:\\PROGRA~1\\KASPER~1\\KASPER~3\\mzvkbd3.dll,C:\\PROGRA~1\\KASPER~1\\KASPER~3\\adialhk.dll,C:\\PROGRA~1\\KASPER~1\\KASPER~3\\kloehk.dll" Или вручную удалите в реестре из AppInit_DLLs все, что не связано с касперским (???pc:\windows\system32\dokigera.dll) Проверьте на virustotal.com C:\WINDOWS\system32\DRIVERS\Beep.sys Поищите также и проверьте Bonjour Service.sys mi-raysat_3dsMax2009_32.sys Bonjour Service можете удалить, см. здесь Очистите временные файлы: - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Попробуете сделать логи с помощью gmer, если не получиться, скачайте RootRepeal, распакуйте и запустите. Перейдите на вкладку "Report" и нажмите Scan. Поставьте все галки, а затем на вновь появившемся окне выберите диск С. После окончания исследования системы нажмите на кнопку Save Report, сохраните лог и вложите в сообщение. Запустите AVZ. В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", перезагрузите компьютер или выполните скрипт begin SetAVZPMStatus(True); RebootWindows(true); end. и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis Ответ из вирлаба пришел? Что с проблемой? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
TRN7 0 Опубликовано 11 марта, 2009 Автор Share Опубликовано 11 марта, 2009 Alexey_I Строки O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file) O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file) ненашел AppInit_DLLs я посмотрел он вообще пуст, ничего менять не стал, т.к. мало что понимаю. dokigera.dll Beep.sys Bonjour Service.sys mi-raysat_3dsMax2009_32.sys ненашел насчет ATF Cleaner надо было посмотреть что очищаю.. удалил некоторые данные из корзины, жалко конечно, ну да ладно... Ответ из лабаратории не пришел (я отсылал 4ре письма, один неправильно оформленый, второй и третий также, а 4й надеюсь верный...) Проблема давно устранена (писал об этом выше=) ) Сканирование в gmer поставил, это на долго, логи выложу только завтра. Скорей всего синий экран смерти появлялся из-за таво что кроме него (gmer'а) был запущен еще один скан... в первом случае это AVZ во втром Malwarebytes' Anti-Malware наверно они както не ладят=) _____________________________________________ И еще раз => Всем ОГРОМНОЕ спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 11 марта, 2009 Share Опубликовано 11 марта, 2009 наверно они както не ладят=) Естественно, конфликтуют за ресурсы ) Файлы искали через AVZ? Пробовали искать с помощью gmer в папках c:\windows\system32\ и c:\windows\system32\drivers? Ждем новые логи AVZ, hijackthis и gmer (в gmer можно было отметить галочкой только системный диск) Цитата Ссылка на сообщение Поделиться на другие сайты
TRN7 0 Опубликовано 12 марта, 2009 Автор Share Опубликовано 12 марта, 2009 Ответ на письмо не пришел до сих пор отправил повторно. gmer.log hijackthis.log virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 12 марта, 2009 Share Опубликовано 12 марта, 2009 Beep.sys Bonjour Service.sys mi-raysat_3dsMax2009_32.sys точно не нашли? Если найдутся, уберите из скрипта Beep, Bonjour Service, mi-raysat_3dsMax2009_32 и провепрьте файлы на virustotal.com Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processes explorer.exe :Services gaopdxserv.sys Beep Bonjour Service mi-raysat_3dsMax2009_32 :Files C:\WINDOWS\system32\drivers\gaopdxdylqppas.sys C:\WINDOWS\system32\gaopdxpmbivasw.dll :Reg [-HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys] [-HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys] [-HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys] [-HKLM\SYSTEM\ControlSet005\Services\gaopdxserv.sys] :Commands [purity] [emptytemp] [start explorer] [Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Обязательно закройте все программы, отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет, не переподключайте интернет пока Combofix не завершит работу. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению Cделайте новые логи gmer (галочку для проверки можно поставить только на системном диске) Цитата Ссылка на сообщение Поделиться на другие сайты
TRN7 0 Опубликовано 14 марта, 2009 Автор Share Опубликовано 14 марта, 2009 Alexey_I После ваших скриптов стала глючить вся система, пришлось перезагрузить, а потом при входе в свой профиль выелтала ошибка что невозможно бпроверить лицензию системы... и больше ничего не поделать! пришлось перустанавливать винду, было потеряно огоромное количество нужной мне информации (впрочем она ценная для меня лично, а не для общественности, такчто ладно..). СПАСИБО ЗА МЕДВЕЖЬЮ УСЛУГУ! Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 15 марта, 2009 Share Опубликовано 15 марта, 2009 TRN7, удалялось только то, что вы не нашли Beep.sys Bonjour Service.sys mi-raysat_3dsMax2009_32.sys ненашел И сам зловред, причем переспрашивалось Beep.sys Bonjour Service.sys mi-raysat_3dsMax2009_32.sys точно не нашли? Если найдутся, уберите из скрипта Beep, Bonjour Service,mi-raysat_3dsMax2009_32 и провепрьте файлы на virustotal.com Поэтому скрипт из поста 20 никак не мог повредить вашу систему (системные файлы вообще не трогались), читайте внимательнее на будущее посты. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.