sany_cka304huk 0 Опубликовано 8 апреля, 2009 Share Опубликовано 8 апреля, 2009 Привет! У меня трабл - при запуске ЛЮБОГО экзешника на компе запускается окно по типу cmd (см. аттач) + в корне создаются файлы: current_exe.DMP, run_pluginEB51E502, run_plugin815EA491, run_plugin7FD1E6F7. не могу понять кто и куда путается лезть. проверка на вирусы выполнялась кучей антивирусников: от каспера и нода до веба и различных утилиток. если это последствия вируса, который уже удален, то как исправить эти последствия? помогите, плиз. Цитата Ссылка на сообщение Поделиться на другие сайты
Самогонщик 374 Опубликовано 8 апреля, 2009 Share Опубликовано 8 апреля, 2009 http://forum.kasperskyclub.ru/index.php?showtopic=1698 сделаете логи Цитата Ссылка на сообщение Поделиться на другие сайты
sany_cka304huk 0 Опубликовано 8 апреля, 2009 Автор Share Опубликовано 8 апреля, 2009 http://forum.kasperskyclub.ru/index.php?showtopic=1698 сделаете логи Три лога в аттаче. Выкладываю те файлы, которые у меня создаются в корне. virusinfo_syscure.zip virusinfo_syscheck.zip HJT___hijackthis.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 8 апреля, 2009 Share Опубликовано 8 апреля, 2009 (изменено) Отключите восстановление системы! Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelCLSID('{28ABC5C0-4GCR-11QF-AAD5-81CP7T635612}'); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe',''); DeleteService('gdrv'); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('C:\WINDOWS\gdrv.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe'); BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем пофиксить в HJT: R3 - URLSearchHook: (no name) - - (no file) Обновите базы AVZ и сделайте новые логи. Выкладываю те файлы, которые у меня создаются в корне. Лучше не стоит, удалите из вложений, это запрещено правилами, вы их на newvirus@kaspersky.com отправьте для проверки Кстати, вот результат проверки ваших появляющихся файлов на ВирусТотал: http://www.virustotal.com/analisis/1e07c08...6bdad648e0ab84a Изменено 8 апреля, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
sany_cka304huk 0 Опубликовано 8 апреля, 2009 Автор Share Опубликовано 8 апреля, 2009 Кстати, вот результат проверки ваших появляющихся файлов на ВирусТотал:http://www.virustotal.com/analisis/1e07c08...6bdad648e0ab84a то есть вирусы в них все же есть? я не очень понимаюв том, что написано на вирустотал.... Отключите восстановление системы! Восстановление отключено. Выполните в AVZ:Код begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelCLSID('{28ABC5C0-4GCR-11QF-AAD5-81CP7T635612}'); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe',''); DeleteService('gdrv'); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('C:\WINDOWS\gdrv.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe'); BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Скрипт выполнен Затем пофиксить в HJT:Код R3 - URLSearchHook: (no name) - - (no file) Код пофиксен... Обновите базы AVZ и сделайте новые логи. Базы обновлены... Новые логи прилагаю. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 8 апреля, 2009 Share Опубликовано 8 апреля, 2009 (изменено) Вполне возможно, что есть, этот архив с файлами отправьте на newvirus@kaspersky.com, предварительно установив на него пароль virus (подробнее об этом). Пароль укажите в письме. Когда придет ответ, скопируйте его в сообщение, только без фамилии аналитика, пожалуйста. Скачайте IceSword. - Запустить программу. - Внизу слева выбрать меню File. Появится аналог проводника. Поищите нем файл: C:\WINDOWS\System32\Drivers\sfc.SYS - Кликнуть на нем правой кнопкой мыши и выбрать force delete. - На запрос потверждения ответить "да". Затем в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения инструкций сделайте новые логи. Изменено 8 апреля, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
sany_cka304huk 0 Опубликовано 8 апреля, 2009 Автор Share Опубликовано 8 апреля, 2009 Скачайте IceSword. - Запустить программу. - Внизу слева выбрать меню File. Появится аналог проводника. Поищите нем файл: C:\WINDOWS\System32\Drivers\sfc.SYS Скачал, запустил - у меня нет в системе файла C:\WINDOWS\System32\Drivers\sfc.SYS. По крайней мере в IceSword не видно его по указанному пути. Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 8 апреля, 2009 Share Опубликовано 8 апреля, 2009 Скрипт сделайте, а после него новые логи, посмотрим как там дела. Цитата Ссылка на сообщение Поделиться на другие сайты
sany_cka304huk 0 Опубликовано 8 апреля, 2009 Автор Share Опубликовано 8 апреля, 2009 Скрипт выполнил. Новые логи приаттачены. как там дела-то? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 8 апреля, 2009 Share Опубликовано 8 апреля, 2009 (изменено) Зараза не хочет по-хорошему. Выполните: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys '); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); BC_ImportDeletedList; BC_Activate; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_DeleteSvc('sfc'); ExecuteSysClean; RebootWindows(true); end. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Прикрепите к следующему сообщению логи AVZ и boot_clr.log из папки с AVZ. Изменено 8 апреля, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
sany_cka304huk 0 Опубликовано 8 апреля, 2009 Автор Share Опубликовано 8 апреля, 2009 Скачал, проверил. нашел 9 зараженных файлов, удалил. Выполнил скрипт. лаги исчезли. но я еще сейчас покопаюсь, вдруг вылезет что-нибудь. Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 8 апреля, 2009 Share Опубликовано 8 апреля, 2009 (изменено) Сделайте логи, мы посмотрим. И вот это: Прикрепите к следующему сообщению логи AVZ и boot_clr.log из папки с AVZ. Изменено 8 апреля, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.