gamer7775 Опубликовано 26 марта, 2009 Поделиться Опубликовано 26 марта, 2009 sas4.exe - что такое? Сообщение от модератора Elly Тема перемещена Ссылка на комментарий Поделиться на другие сайты Поделиться
SLASH_id Опубликовано 26 марта, 2009 Поделиться Опубликовано 26 марта, 2009 Кусок GTA 4 Ссылка на комментарий Поделиться на другие сайты Поделиться
gamer7775 Опубликовано 27 марта, 2009 Автор Поделиться Опубликовано 27 марта, 2009 А кроме GTA 4? Ссылка на комментарий Поделиться на другие сайты Поделиться
Steker Опубликовано 27 марта, 2009 Поделиться Опубликовано 27 марта, 2009 Исполняемый файл windows с именем sas4 Ссылка на комментарий Поделиться на другие сайты Поделиться
gamer7775 Опубликовано 27 марта, 2009 Автор Поделиться Опубликовано 27 марта, 2009 А в какой папке мне его искать? Ссылка на комментарий Поделиться на другие сайты Поделиться
Elly Опубликовано 27 марта, 2009 Поделиться Опубликовано 27 марта, 2009 gamer7775 в папке установленной игры. Ссылка на комментарий Поделиться на другие сайты Поделиться
gamer7775 Опубликовано 27 марта, 2009 Автор Поделиться Опубликовано 27 марта, 2009 (изменено) А меня gta4 не было и нету!? 'C:\Documents and Settings\Gamer\Мои документы\sas4.exe' В точках восстановления присутствует RiskWare.CrackTool.Win32.HotHook.dll, Изменено 27 марта, 2009 пользователем gamer7775 Ссылка на комментарий Поделиться на другие сайты Поделиться
Elly Опубликовано 27 марта, 2009 Поделиться Опубликовано 27 марта, 2009 Это уже интереснее Нам понадобятся логи о вашей системе. Сделайте по инструкции http://forum.kasperskyclub.ru/index.php?s=...ost&p=55906 и если вы точно уверены, что ну устанавливали никогда эту игру и не качали для неё кряки, то ещё вот эти инструкции http://forum.kasperskyclub.ru/index.php?s=...ost&p=17368 Ссылка на комментарий Поделиться на другие сайты Поделиться
gamer7775 Опубликовано 27 марта, 2009 Автор Поделиться Опубликовано 27 марта, 2009 ЛОГИ: hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 27 марта, 2009 Поделиться Опубликовано 27 марта, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('twain_32\a6u16k\a1spi.dll',''); QuarantineFile('C:\WINDOWS\system32\mstmdm.dll',''); QuarantineFile('C:\Documents and Settings\Святослав\Мои документы\sas4.exe',''); DeleteFile('C:\System Volume Information\_restore{0D3D8F91-72A9-4C76-9D8B-274EA0E98ACE}\RP1\A0000011.dll'); DeleteFile('C:\System Volume Information\_restore{0D3D8F91-72A9-4C76-9D8B-274EA0E98ACE}\RP1\A0000012.DLL'); DeleteFile('C:\WINDOWS\system32\mstmdm.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес . В письме укажите ссылку на тему Повторите логи. При помощи АВЗ--сервис--поиск файлов на диске поищите sas4.exe, если найдётся - пути привидите полные. Ссылка на комментарий Поделиться на другие сайты Поделиться
gamer7775 Опубликовано 29 марта, 2009 Автор Поделиться Опубликовано 29 марта, 2009 Не нашелся! Новые логи: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ROME'D'ROS Опубликовано 29 марта, 2009 Поделиться Опубликовано 29 марта, 2009 Проверь файл "C:\WINDOWS\system32\Drivers\d347bus.sys" на virustotal.com,че выйдет выложи сюда Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 29 марта, 2009 Поделиться Опубликовано 29 марта, 2009 Acrobat 7.0 - не актуален скачайте и установите Acrobat 9.1 - он бесплатный 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Святослав\Мои документы\sas4.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. 2.Пофиксить в HijackThis следующие строчки если будет O4 - HKLM\..\Run: [sas4.exe] C:\Documents and Settings\Святослав\Мои документы\sas4.exe Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
gamer7775 Опубликовано 30 марта, 2009 Автор Поделиться Опубликовано 30 марта, 2009 От Касперского прислали: Здравствуйте, В присланном Вами файле не найдено ничего вредоносного. От virustotal: Файл d347bus.sys получен 2009.03.27 21:41:10 (CET) Текущий статус: закончено Результат: 0/38 (0.00%) Форматированные Печать результатов АнтивирусВерсияОбновлениеРезультатa-squared4.0.0.1012009.03.27-AhnLab-V35.0.0.22009.03.27-AntiVir7.9.0.1292009.03.27-Antiy-AVL2.0.3.12009.03.27-Authentium5.1.2.42009.03.27-Avast4.8.1335.02009.03.27-AVG8.5.0.2832009.03.27-BitDefender7.22009.03.27-CAT-QuickHeal10.002009.03.26-ClamAV0.94.12009.03.27-Comodo10862009.03.27-DrWeb4.44.0.091702009.03.27-eSafe7.0.17.02009.03.27-eTrust-Vet31.6.64202009.03.27-F-Prot4.4.4.562009.03.27-F-Secure8.0.14470.02009.03.27-Fortinet3.117.0.02009.03.27-GData192009.03.27-IkarusT3.1.1.48.02009.03.27-K7AntiVirus7.10.6832009.03.27-Kaspersky7.0.0.1252009.03.27-McAfee55662009.03.27-McAfee+Artemis55662009.03.27-McAfee-GW-Edition6.7.62009.03.27-Microsoft1.45022009.03.27-NOD3239692009.03.27-Norman6.00.062009.03.27-nProtect2009.1.8.02009.03.27-Panda10.0.0.102009.03.27-Prevx1V22009.03.27-Rising21.22.42.002009.03.27-Sophos4.40.02009.03.27-Sunbelt3.2.1858.22009.03.27-Symantec1.4.4.122009.03.27-TheHacker6.3.3.7.2922009.03.26-TrendMicro8.700.0.10042009.03.27-VBA323.12.10.12009.03.26-ViRobot2009.3.27.16662009.03.27-Дополнительная информацияTamano archivo: 155136 bytesMD5...: 5776322f93cdb91086111f5ffbfda2a0SHA1..: cbf164e18401d4cdd1e3eaa416b67a4d4f7c5e70SHA256: 3f965c1415e27a5d4f70ab71a42cca39e74df6af258c503e0392a9daa4cef044SHA512: a402669dec57b18bad6cc8ba4ceea40f13e45614f9a348010177287bd2c642dd 70fbec48699ad145296dd31f5d695989443bf3e159542510f39274386d692590ssdeep: 3072:GxEVcRKiYkUvVLG+ZgTp4fcGuag8Hn3tCe/pZEcTAhQP9ZbLo+:qEVcQXVL Gc0qfcGNBoWX18CPjL PEiD..: -TrID..: File type identification Win64 Executable Generic (87.2%) Win32 Executable Generic (8.6%) Generic Win/DOS Executable (2.0%) DOS Executable Generic (2.0%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1faa3 timedatestamp.....: 0x4128a01d (Sun Aug 22 13:31:09 2004) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x16695 0x16700 6.72 904b785aba18aa3c67aaa756891cd8bb .rdata 0x16a00 0x2d0 0x300 4.80 e4584d727a4cbb123bb188d47755ef45 .data 0x16d00 0x4a9c 0x4b00 6.13 1444263fa34c65b5431f557162ec32f6 PAGE 0x1b800 0x4264 0x4280 6.57 bb193120fa23704c1c31a4ec979939cf INIT 0x1fa80 0x45b4 0x4600 6.76 926de8f914f79ef2d80d892b20be1499 .rsrc 0x24080 0x308 0x380 2.88 e5b935920f7d9b88e7f2af1be8f11715 .reloc 0x24400 0x19b6 0x1a00 6.58 bc43e74be402b492a59363f85b84b7d7 ( 2 imports ) > ntoskrnl.exe: RtlAnsiStringToUnicodeString, RtlUnicodeStringToAnsiString, RtlAppendUnicodeStringToString, ZwClose, ZwCreateKey, ZwOpenKey, IofCompleteRequest, KeClearEvent, IofCallDriver, ObfReferenceObject, IoRegisterShutdownNotification, IoDeleteDevice, IoDeleteSymbolicLink, IoCreateSymbolicLink, IoCreateDevice, ZwQueryValueKey, RtlInitAnsiString, RtlCopyUnicodeString, RtlCompareMemory, RtlEqualUnicodeString, RtlInitUnicodeString, KeLeaveCriticalRegion, KeEnterCriticalRegion, IoAttachDeviceToDeviceStack, KeInitializeEvent, KeWaitForSingleObject, IoDetachDevice, RtlWriteRegistryValue, RtlDeleteRegistryValue, swprintf, ObfDereferenceObject, IoBuildSynchronousFsdRequest, KeSynchronizeExecution, _wcsnicmp, MmIsAddressValid, MmProbeAndLockPages, ZwQuerySystemInformation, KeGetCurrentThread, ObReferenceObjectByHandle, ExGetPreviousMode, _strnicmp, _stricmp, IoDriverObjectType, IoWriteErrorLogEntry, RtlFreeUnicodeString, IoGetAttachedDevice, MmMapLockedPages, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, KeCancelTimer, KeSetTimer, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, IoFreeMdl, MmUnlockPages, IoAllocateIrp, MmBuildMdlForNonPagedPool, IoAllocateMdl, _alldiv, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, KeResetEvent, ZwSetValueKey, wcslen, KeDelayExecutionThread, IoFreeIrp, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeInitializeDpc, ExfInterlockedRemoveHeadList, KeReleaseSemaphore, ExfInterlockedInsertTailList, _allmul, _allshr, memmove, ExDeleteResourceLite, PsGetVersion, KeInitializeSpinLock, RtlQueryRegistryValues, ExInitializeResourceLite, IoGetConfigurationInformation, _allrem, MmUnmapIoSpace, MmMapIoSpace, RtlFreeAnsiString, strstr, KeInitializeSemaphore, KeInitializeTimer, RtlUnwind, strncpy, sprintf, KeSetEvent, ExFreePool, ExAllocatePoolWithTag, IoReleaseCancelSpinLock, IoAcquireCancelSpinLock, IoAllocateErrorLogEntry, PsGetCurrentProcessId > HAL.dll: KfReleaseSpinLock, KeStallExecutionProcessor, KeQueryPerformanceCounter, KfRaiseIrql, KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock ( 0 exports ) RDS...: NSRL Reference Data Set Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 30 марта, 2009 Поделиться Опубликовано 30 марта, 2009 Повторите логи. Я же просил, нужно убедиться, что удалился или нет. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти