Перейти к содержанию

Рекомендуемые сообщения

А меня gta4 не было и нету!?

'C:\Documents and Settings\Gamer\Мои документы\sas4.exe'

В точках восстановления присутствует RiskWare.CrackTool.Win32.HotHook.dll,

Изменено пользователем gamer7775
Ссылка на сообщение
Поделиться на другие сайты

Это уже интереснее :huh:

Нам понадобятся логи о вашей системе. Сделайте по инструкции http://forum.kasperskyclub.ru/index.php?s=...ost&p=55906

 

и если вы точно уверены, что ну устанавливали никогда эту игру и не качали для неё кряки, то ещё вот эти инструкции http://forum.kasperskyclub.ru/index.php?s=...ost&p=17368

Ссылка на сообщение
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('twain_32\a6u16k\a1spi.dll','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\Documents and Settings\Святослав\Мои документы\sas4.exe','');
DeleteFile('C:\System Volume Information\_restore{0D3D8F91-72A9-4C76-9D8B-274EA0E98ACE}\RP1\A0000011.dll');
DeleteFile('C:\System Volume Information\_restore{0D3D8F91-72A9-4C76-9D8B-274EA0E98ACE}\RP1\A0000012.DLL');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес e548759d5bd6.gif. В письме укажите ссылку на тему

 

Повторите логи.

При помощи АВЗ--сервис--поиск файлов на диске поищите sas4.exe, если найдётся - пути привидите полные.

Ссылка на сообщение
Поделиться на другие сайты

Acrobat 7.0 - не актуален скачайте и установите Acrobat 9.1 - он бесплатный

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Святослав\Мои документы\sas4.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес dbc22864ba2b.gif В теле письма укажите ссылку на тему.

 

2.Пофиксить в HijackThis следующие строчки если будет

O4 - HKLM\..\Run: [sas4.exe] C:\Documents and Settings\Святослав\Мои документы\sas4.exe

 

Повторите логи.

Ссылка на сообщение
Поделиться на другие сайты

От Касперского прислали:

Здравствуйте,

 

 

В присланном Вами файле не найдено ничего вредоносного.

 

 

От virustotal:

Файл d347bus.sys получен 2009.03.27 21:41:10 (CET)

Текущий статус: закончено

Результат: 0/38 (0.00%)compress-icon.png Форматированные Печать результатов print-icon.png АнтивирусВерсияОбновлениеРезультатa-squared4.0.0.1012009.03.27-AhnLab-V35.0.0.22009.03.27-AntiVir7.9.0.1292009.03.27-Antiy-AVL2.0.3.12009.03.27-Authentium5.1.2.42009.03.27-Avast4.8.1335.02009.03.27-AVG8.5.0.2832009.03.27-BitDefender7.22009.03.27-CAT-QuickHeal10.002009.03.26-ClamAV0.94.12009.03.27-Comodo10862009.03.27-DrWeb4.44.0.091702009.03.27-eSafe7.0.17.02009.03.27-eTrust-Vet31.6.64202009.03.27-F-Prot4.4.4.562009.03.27-F-Secure8.0.14470.02009.03.27-Fortinet3.117.0.02009.03.27-GData192009.03.27-IkarusT3.1.1.48.02009.03.27-K7AntiVirus7.10.6832009.03.27-Kaspersky7.0.0.1252009.03.27-McAfee55662009.03.27-McAfee+Artemis55662009.03.27-McAfee-GW-Edition6.7.62009.03.27-Microsoft1.45022009.03.27-NOD3239692009.03.27-Norman6.00.062009.03.27-nProtect2009.1.8.02009.03.27-Panda10.0.0.102009.03.27-Prevx1V22009.03.27-Rising21.22.42.002009.03.27-Sophos4.40.02009.03.27-Sunbelt3.2.1858.22009.03.27-Symantec1.4.4.122009.03.27-TheHacker6.3.3.7.2922009.03.26-TrendMicro8.700.0.10042009.03.27-VBA323.12.10.12009.03.26-ViRobot2009.3.27.16662009.03.27-Дополнительная информацияTamano archivo: 155136 bytesMD5...: 5776322f93cdb91086111f5ffbfda2a0SHA1..: cbf164e18401d4cdd1e3eaa416b67a4d4f7c5e70SHA256: 3f965c1415e27a5d4f70ab71a42cca39e74df6af258c503e0392a9daa4cef044SHA512: a402669dec57b18bad6cc8ba4ceea40f13e45614f9a348010177287bd2c642dd

70fbec48699ad145296dd31f5d695989443bf3e159542510f39274386d692590ssdeep: 3072:GxEVcRKiYkUvVLG+ZgTp4fcGuag8Hn3tCe/pZEcTAhQP9ZbLo+:qEVcQXVL

Gc0qfcGNBoWX18CPjL

PEiD..: -TrID..: File type identification

Win64 Executable Generic (87.2%)

Win32 Executable Generic (8.6%)

Generic Win/DOS Executable (2.0%)

DOS Executable Generic (2.0%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x1faa3

timedatestamp.....: 0x4128a01d (Sun Aug 22 13:31:09 2004)

machinetype.......: 0x14c (I386)

 

( 7 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x300 0x16695 0x16700 6.72 904b785aba18aa3c67aaa756891cd8bb

.rdata 0x16a00 0x2d0 0x300 4.80 e4584d727a4cbb123bb188d47755ef45

.data 0x16d00 0x4a9c 0x4b00 6.13 1444263fa34c65b5431f557162ec32f6

PAGE 0x1b800 0x4264 0x4280 6.57 bb193120fa23704c1c31a4ec979939cf

INIT 0x1fa80 0x45b4 0x4600 6.76 926de8f914f79ef2d80d892b20be1499

.rsrc 0x24080 0x308 0x380 2.88 e5b935920f7d9b88e7f2af1be8f11715

.reloc 0x24400 0x19b6 0x1a00 6.58 bc43e74be402b492a59363f85b84b7d7

 

( 2 imports )

> ntoskrnl.exe: RtlAnsiStringToUnicodeString, RtlUnicodeStringToAnsiString, RtlAppendUnicodeStringToString, ZwClose, ZwCreateKey, ZwOpenKey, IofCompleteRequest, KeClearEvent, IofCallDriver, ObfReferenceObject, IoRegisterShutdownNotification, IoDeleteDevice, IoDeleteSymbolicLink, IoCreateSymbolicLink, IoCreateDevice, ZwQueryValueKey, RtlInitAnsiString, RtlCopyUnicodeString, RtlCompareMemory, RtlEqualUnicodeString, RtlInitUnicodeString, KeLeaveCriticalRegion, KeEnterCriticalRegion, IoAttachDeviceToDeviceStack, KeInitializeEvent, KeWaitForSingleObject, IoDetachDevice, RtlWriteRegistryValue, RtlDeleteRegistryValue, swprintf, ObfDereferenceObject, IoBuildSynchronousFsdRequest, KeSynchronizeExecution, _wcsnicmp, MmIsAddressValid, MmProbeAndLockPages, ZwQuerySystemInformation, KeGetCurrentThread, ObReferenceObjectByHandle, ExGetPreviousMode, _strnicmp, _stricmp, IoDriverObjectType, IoWriteErrorLogEntry, RtlFreeUnicodeString, IoGetAttachedDevice, MmMapLockedPages, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, KeCancelTimer, KeSetTimer, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, IoFreeMdl, MmUnlockPages, IoAllocateIrp, MmBuildMdlForNonPagedPool, IoAllocateMdl, _alldiv, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, KeResetEvent, ZwSetValueKey, wcslen, KeDelayExecutionThread, IoFreeIrp, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeInitializeDpc, ExfInterlockedRemoveHeadList, KeReleaseSemaphore, ExfInterlockedInsertTailList, _allmul, _allshr, memmove, ExDeleteResourceLite, PsGetVersion, KeInitializeSpinLock, RtlQueryRegistryValues, ExInitializeResourceLite, IoGetConfigurationInformation, _allrem, MmUnmapIoSpace, MmMapIoSpace, RtlFreeAnsiString, strstr, KeInitializeSemaphore, KeInitializeTimer, RtlUnwind, strncpy, sprintf, KeSetEvent, ExFreePool, ExAllocatePoolWithTag, IoReleaseCancelSpinLock, IoAcquireCancelSpinLock, IoAllocateErrorLogEntry, PsGetCurrentProcessId

> HAL.dll: KfReleaseSpinLock, KeStallExecutionProcessor, KeQueryPerformanceCounter, KfRaiseIrql, KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock

 

( 0 exports )

RDS...: NSRL Reference Data Set

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...