gamer7775 0 Опубликовано 26 марта, 2009 Share Опубликовано 26 марта, 2009 sas4.exe - что такое? Сообщение от модератора Elly Тема перемещена Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 26 марта, 2009 Share Опубликовано 26 марта, 2009 Кусок GTA 4 Цитата Ссылка на сообщение Поделиться на другие сайты
gamer7775 0 Опубликовано 27 марта, 2009 Автор Share Опубликовано 27 марта, 2009 А кроме GTA 4? Цитата Ссылка на сообщение Поделиться на другие сайты
Steker 0 Опубликовано 27 марта, 2009 Share Опубликовано 27 марта, 2009 Исполняемый файл windows с именем sas4 Цитата Ссылка на сообщение Поделиться на другие сайты
gamer7775 0 Опубликовано 27 марта, 2009 Автор Share Опубликовано 27 марта, 2009 А в какой папке мне его искать? Цитата Ссылка на сообщение Поделиться на другие сайты
Elly 3 240 Опубликовано 27 марта, 2009 Share Опубликовано 27 марта, 2009 gamer7775 в папке установленной игры. Цитата Ссылка на сообщение Поделиться на другие сайты
gamer7775 0 Опубликовано 27 марта, 2009 Автор Share Опубликовано 27 марта, 2009 (изменено) А меня gta4 не было и нету!? 'C:\Documents and Settings\Gamer\Мои документы\sas4.exe' В точках восстановления присутствует RiskWare.CrackTool.Win32.HotHook.dll, Изменено 27 марта, 2009 пользователем gamer7775 Цитата Ссылка на сообщение Поделиться на другие сайты
Elly 3 240 Опубликовано 27 марта, 2009 Share Опубликовано 27 марта, 2009 Это уже интереснее Нам понадобятся логи о вашей системе. Сделайте по инструкции http://forum.kasperskyclub.ru/index.php?s=...ost&p=55906 и если вы точно уверены, что ну устанавливали никогда эту игру и не качали для неё кряки, то ещё вот эти инструкции http://forum.kasperskyclub.ru/index.php?s=...ost&p=17368 Цитата Ссылка на сообщение Поделиться на другие сайты
gamer7775 0 Опубликовано 27 марта, 2009 Автор Share Опубликовано 27 марта, 2009 ЛОГИ: hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 27 марта, 2009 Share Опубликовано 27 марта, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('twain_32\a6u16k\a1spi.dll',''); QuarantineFile('C:\WINDOWS\system32\mstmdm.dll',''); QuarantineFile('C:\Documents and Settings\Святослав\Мои документы\sas4.exe',''); DeleteFile('C:\System Volume Information\_restore{0D3D8F91-72A9-4C76-9D8B-274EA0E98ACE}\RP1\A0000011.dll'); DeleteFile('C:\System Volume Information\_restore{0D3D8F91-72A9-4C76-9D8B-274EA0E98ACE}\RP1\A0000012.DLL'); DeleteFile('C:\WINDOWS\system32\mstmdm.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес . В письме укажите ссылку на тему Повторите логи. При помощи АВЗ--сервис--поиск файлов на диске поищите sas4.exe, если найдётся - пути привидите полные. Цитата Ссылка на сообщение Поделиться на другие сайты
gamer7775 0 Опубликовано 29 марта, 2009 Автор Share Опубликовано 29 марта, 2009 Не нашелся! Новые логи: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
ROME'D'ROS 18 Опубликовано 29 марта, 2009 Share Опубликовано 29 марта, 2009 Проверь файл "C:\WINDOWS\system32\Drivers\d347bus.sys" на virustotal.com,че выйдет выложи сюда Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 29 марта, 2009 Share Опубликовано 29 марта, 2009 Acrobat 7.0 - не актуален скачайте и установите Acrobat 9.1 - он бесплатный 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Святослав\Мои документы\sas4.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. 2.Пофиксить в HijackThis следующие строчки если будет O4 - HKLM\..\Run: [sas4.exe] C:\Documents and Settings\Святослав\Мои документы\sas4.exe Повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
gamer7775 0 Опубликовано 30 марта, 2009 Автор Share Опубликовано 30 марта, 2009 От Касперского прислали: Здравствуйте, В присланном Вами файле не найдено ничего вредоносного. От virustotal: Файл d347bus.sys получен 2009.03.27 21:41:10 (CET) Текущий статус: закончено Результат: 0/38 (0.00%) Форматированные Печать результатов АнтивирусВерсияОбновлениеРезультатa-squared4.0.0.1012009.03.27-AhnLab-V35.0.0.22009.03.27-AntiVir7.9.0.1292009.03.27-Antiy-AVL2.0.3.12009.03.27-Authentium5.1.2.42009.03.27-Avast4.8.1335.02009.03.27-AVG8.5.0.2832009.03.27-BitDefender7.22009.03.27-CAT-QuickHeal10.002009.03.26-ClamAV0.94.12009.03.27-Comodo10862009.03.27-DrWeb4.44.0.091702009.03.27-eSafe7.0.17.02009.03.27-eTrust-Vet31.6.64202009.03.27-F-Prot4.4.4.562009.03.27-F-Secure8.0.14470.02009.03.27-Fortinet3.117.0.02009.03.27-GData192009.03.27-IkarusT3.1.1.48.02009.03.27-K7AntiVirus7.10.6832009.03.27-Kaspersky7.0.0.1252009.03.27-McAfee55662009.03.27-McAfee+Artemis55662009.03.27-McAfee-GW-Edition6.7.62009.03.27-Microsoft1.45022009.03.27-NOD3239692009.03.27-Norman6.00.062009.03.27-nProtect2009.1.8.02009.03.27-Panda10.0.0.102009.03.27-Prevx1V22009.03.27-Rising21.22.42.002009.03.27-Sophos4.40.02009.03.27-Sunbelt3.2.1858.22009.03.27-Symantec1.4.4.122009.03.27-TheHacker6.3.3.7.2922009.03.26-TrendMicro8.700.0.10042009.03.27-VBA323.12.10.12009.03.26-ViRobot2009.3.27.16662009.03.27-Дополнительная информацияTamano archivo: 155136 bytesMD5...: 5776322f93cdb91086111f5ffbfda2a0SHA1..: cbf164e18401d4cdd1e3eaa416b67a4d4f7c5e70SHA256: 3f965c1415e27a5d4f70ab71a42cca39e74df6af258c503e0392a9daa4cef044SHA512: a402669dec57b18bad6cc8ba4ceea40f13e45614f9a348010177287bd2c642dd 70fbec48699ad145296dd31f5d695989443bf3e159542510f39274386d692590ssdeep: 3072:GxEVcRKiYkUvVLG+ZgTp4fcGuag8Hn3tCe/pZEcTAhQP9ZbLo+:qEVcQXVL Gc0qfcGNBoWX18CPjL PEiD..: -TrID..: File type identification Win64 Executable Generic (87.2%) Win32 Executable Generic (8.6%) Generic Win/DOS Executable (2.0%) DOS Executable Generic (2.0%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1faa3 timedatestamp.....: 0x4128a01d (Sun Aug 22 13:31:09 2004) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x16695 0x16700 6.72 904b785aba18aa3c67aaa756891cd8bb .rdata 0x16a00 0x2d0 0x300 4.80 e4584d727a4cbb123bb188d47755ef45 .data 0x16d00 0x4a9c 0x4b00 6.13 1444263fa34c65b5431f557162ec32f6 PAGE 0x1b800 0x4264 0x4280 6.57 bb193120fa23704c1c31a4ec979939cf INIT 0x1fa80 0x45b4 0x4600 6.76 926de8f914f79ef2d80d892b20be1499 .rsrc 0x24080 0x308 0x380 2.88 e5b935920f7d9b88e7f2af1be8f11715 .reloc 0x24400 0x19b6 0x1a00 6.58 bc43e74be402b492a59363f85b84b7d7 ( 2 imports ) > ntoskrnl.exe: RtlAnsiStringToUnicodeString, RtlUnicodeStringToAnsiString, RtlAppendUnicodeStringToString, ZwClose, ZwCreateKey, ZwOpenKey, IofCompleteRequest, KeClearEvent, IofCallDriver, ObfReferenceObject, IoRegisterShutdownNotification, IoDeleteDevice, IoDeleteSymbolicLink, IoCreateSymbolicLink, IoCreateDevice, ZwQueryValueKey, RtlInitAnsiString, RtlCopyUnicodeString, RtlCompareMemory, RtlEqualUnicodeString, RtlInitUnicodeString, KeLeaveCriticalRegion, KeEnterCriticalRegion, IoAttachDeviceToDeviceStack, KeInitializeEvent, KeWaitForSingleObject, IoDetachDevice, RtlWriteRegistryValue, RtlDeleteRegistryValue, swprintf, ObfDereferenceObject, IoBuildSynchronousFsdRequest, KeSynchronizeExecution, _wcsnicmp, MmIsAddressValid, MmProbeAndLockPages, ZwQuerySystemInformation, KeGetCurrentThread, ObReferenceObjectByHandle, ExGetPreviousMode, _strnicmp, _stricmp, IoDriverObjectType, IoWriteErrorLogEntry, RtlFreeUnicodeString, IoGetAttachedDevice, MmMapLockedPages, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, KeCancelTimer, KeSetTimer, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, IoFreeMdl, MmUnlockPages, IoAllocateIrp, MmBuildMdlForNonPagedPool, IoAllocateMdl, _alldiv, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, KeResetEvent, ZwSetValueKey, wcslen, KeDelayExecutionThread, IoFreeIrp, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeInitializeDpc, ExfInterlockedRemoveHeadList, KeReleaseSemaphore, ExfInterlockedInsertTailList, _allmul, _allshr, memmove, ExDeleteResourceLite, PsGetVersion, KeInitializeSpinLock, RtlQueryRegistryValues, ExInitializeResourceLite, IoGetConfigurationInformation, _allrem, MmUnmapIoSpace, MmMapIoSpace, RtlFreeAnsiString, strstr, KeInitializeSemaphore, KeInitializeTimer, RtlUnwind, strncpy, sprintf, KeSetEvent, ExFreePool, ExAllocatePoolWithTag, IoReleaseCancelSpinLock, IoAcquireCancelSpinLock, IoAllocateErrorLogEntry, PsGetCurrentProcessId > HAL.dll: KfReleaseSpinLock, KeStallExecutionProcessor, KeQueryPerformanceCounter, KfRaiseIrql, KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock ( 0 exports ) RDS...: NSRL Reference Data Set Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 30 марта, 2009 Share Опубликовано 30 марта, 2009 Повторите логи. Я же просил, нужно убедиться, что удалился или нет. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.