sdf Опубликовано 25 мая, 2009 Опубликовано 25 мая, 2009 В очередной раз обращаюсь за помощью) КИС7 не обновляется, отключено отображение скрытых файлов, через Far в корнях дисков просматриваются скрытые левые bat, exe и autorun.inf файлы, ЕХЕшники периодично пытаются вползти в eхplorer.exe.КИС блокирует вроде. сначала подумал на kido, но в реестре чисто, где обычно кидо сидит, и кидокиллер не нашел ничего...;( AVZ находит в папке system32 *.dll'ки, говорит что они перехватывают мышь и клаву, и дает 0.56% вероятности что они вредоносные. Восстановление системы не могу отключить, там где оно у всех есть - у меня его там нету, а через реестр както тоже не получается...;( Логи прилагаю hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip вроде ничего не забыл...
akoK Опубликовано 25 мая, 2009 Опубликовано 25 мая, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('dciiodrv', 4); QuarantineFile('C:\windows\system32\webcheck.dll',''); QuarantineFile('C:\windows\system32\shell32.dll',''); QuarantineFile('C:\windows\system32\olhrwef.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\dciiodrv.sys',''); QuarantineFile('C:\windows\system32\nmdfgds2.dll',''); QuarantineFile('d:\program files\eeectl\eeectl.exe',''); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('C:\windows\system32\nmdfgds2.dll'); DeleteFile('C:\WINDOWS\system32\drivers\dciiodrv.sys'); DeleteFile('C:\windows\system32\olhrwef.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\lad.bat'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\lad.bat'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\lad.bat'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DeleteService('dciiodrv'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. B повторите логи.
sdf Опубликовано 26 мая, 2009 Автор Опубликовано 26 мая, 2009 (изменено) virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Карантин выслал на почту. Лог mbam: Malwarebytes' Anti-Malware 1.36 Версия базы данных: 2178 Windows 5.1.2600 Service Pack 2 26.05.2009 13:30:08 mbam-log-2009-05-26 (13-30-08).txt Тип проверки: Полная (C:\|D:\|E:\|) Проверено объектов: 90972 Прошло времени: 26 minute(s), 55 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 1 Заражено значений реестра: 1 Заражено параметров реестра: 1 Заражено папок: 0 Заражено файлов: 5 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Trojan.Dropper) -> Quarantined and deleted successfully. Заражено значений реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: C:\Program Files\MyCentria\MyCentriaUninstall.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nmdfgds1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. D:\ukvr.bat (Spyware.OnlineGames) -> Quarantined and deleted successfully. E:\antivir\avz4\Infected\2009-05-20\avz00001.dta (Backdoor.Bot) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nmdfgds0.dll (Spyware.OnLineGames) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.36 Версия базы данных: 2178 Windows 5.1.2600 Service Pack 2 26.05.2009 13:30:08 mbam-log-2009-05-26 (13-30-08).txt Тип проверки: Полная (C:\|D:\|E:\|) Проверено объектов: 90972 Прошло времени: 26 minute(s), 55 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 1 Заражено значений реестра: 1 Заражено параметров реестра: 1 Заражено папок: 0 Заражено файлов: 5 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Trojan.Dropper) -> Quarantined and deleted successfully. Заражено значений реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: C:\Program Files\MyCentria\MyCentriaUninstall.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nmdfgds1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. D:\ukvr.bat (Spyware.OnlineGames) -> Quarantined and deleted successfully. E:\antivir\avz4\Infected\2009-05-20\avz00001.dta (Backdoor.Bot) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nmdfgds0.dll (Spyware.OnLineGames) -> Quarantined and deleted successfully. Изменено 26 мая, 2009 пользователем sdf
akoK Опубликовано 26 мая, 2009 Опубликовано 26 мая, 2009 C:\windows\system32\nmdfgds2.dll - Trojan-GameThief.Win32.Magania.bdnc C:\windows\system32\olhrwef.exe - Trojan-GameThief.Win32.Magania.bdem Проверьте на www.virustotal.com C:\windows\system32\drivers\dciiodrv.sys C:\windows\system32\services.exe C:\windows\System32\svchost.exe
sdf Опубликовано 26 мая, 2009 Автор Опубликовано 26 мая, 2009 C:\windows\system32\nmdfgds2.dll - Trojan-GameThief.Win32.Magania.bdncC:\windows\system32\olhrwef.exe - Trojan-GameThief.Win32.Magania.bdem Проверьте на www.virustotal.com C:\windows\system32\drivers\dciiodrv.sys C:\windows\system32\services.exe C:\windows\System32\svchost.exe C:\windows\system32\services.exe - eSafe определил как Win32.Banker. остальные чистые. что делать то? в корне C и D опять ЕХЕшники рандомнэйм.
Apollon Опубликовано 26 мая, 2009 Опубликовано 26 мая, 2009 что делать то? в корне C и D опять ЕХЕшники рандомнэйм. Здраствуйте! Ну как что ?) выполняем правила
sdf Опубликовано 26 мая, 2009 Автор Опубликовано 26 мая, 2009 Здраствуйте! Ну как что ?) выполняем правила я кажется выполнил, выложил все нужные логи и описание проблемы, мне ответили, результат не очень радует.выложить новые логи? так не просили вроде бы...или это мне самому домыслить надо?
akoK Опубликовано 26 мая, 2009 Опубликовано 26 мая, 2009 что делать то? в корне C и D опять ЕХЕшники рандомнэйм. Флешку вставляли?
sdf Опубликовано 27 мая, 2009 Автор Опубликовано 27 мая, 2009 (изменено) virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.zip Флэшку вставлял, но предварительно чистил ее на другом ПК КИС7ым. Изменено 27 мая, 2009 пользователем sdf
ТроПа Опубликовано 28 мая, 2009 Опубликовано 28 мая, 2009 Что - то в логах не видно их. В АВЗ включите AVZPM и сделайте новый комплект логов.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти