Перейти к содержанию

RECYCLER и RECYCLED [LOG+]


Рекомендуемые сообщения

Скачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Скачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.

 

 

Держите пожалуйста

Extras.Txt

OTViewIt.rar

Ссылка на сообщение
Поделиться на другие сайты

andrey_zaraza, здравствуйте. При проверке МВАМ вы выбрали Тип проверки: Быстрая, выберите полную проверку и повторите сканирование, выложите новый лог.

Включите брандмауэр windows.

Radmin деинсталлируйте и пофиксите

O20 - AppInit_DLLs: G:\WINDOWS\system32\rserver30\newtstop.dll

Total Commander Podarok Edition также деинсталлируйте.

Adobe Acrobat рекомендую обновить

Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services
mpr_freader

:Files
G:\WINDOWS\System32\drivers\ovfsth.sys
G:\WINDOWS\system32\rserver30\newtstop.dll
H:\Total Commander Podarok Edition\Programm\Mpr\mpr_freader.sys

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=""
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dec6154f-6e40-11dd-ac33-806d6172696f}]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) файлы:

G:\WINDOWS\Domino.exe
G:\Program Files\oovooToolbar\oovooToolbar.dll
G:\WINDOWS\System32\winsetup63.exe
G:\WINDOWS\chgkey.vbs

Запакуйте в архив с паролем infected и отправьте в вирлаб на newvirus@kaspersky.com, и, т.к. вы используете ESET, на samples@esetnod32.ru, указав пароль в письме когда придет ответ, сообщите о результатах.

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.

После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.

Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

 

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

 

Как использовать ComboFix - how-to-use-combofix (на англ.яз.)

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на сообщение
Поделиться на другие сайты

Письмо на указанный адреса отправлено - жду ответа

Логи здесь

log.txt

06022009_224815.log

Изменено пользователем Falcon
Ссылка на сообщение
Поделиться на другие сайты

Уберите файл infected.rar из вложений.

g:\windows\system32\termsrv.dll

g:\windows\system32\dllcache\mstinit.exe

проверьте на virustotal.com, результат сообщите

G:\WINDOWS\chgkey.vbs в вирлаб отправляли? Файл вам знаком? Если нет - отправьте.

ComboFix запускали до выполнения скрипта OtMoveIt?

Ждем ответа из вирлаба

У вас Windows XP SP2, поэтому рекомендую включить брандмауэр windows, после окончания лечения установите SP3 и все обновления.

Ссылка на сообщение
Поделиться на другие сайты

проверено по virustotal.com -все очень чисто Результат: 0/40 (0%).По вирлабу ответа пока не пришло и тишина....

Изменено пользователем andrey_zaraza
Ссылка на сообщение
Поделиться на другие сайты

Ну если Результат: 0/40 (0%) по всем файлам и чисто по вирлабу, значит ничего вредоносного в логах.

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Запустите OTMoveIt3 и нажмите ”CleanUp!”

 

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus

Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы

Советую прочитать

Безопасный Интернет. Универсальная защита для Windows ME - Vista,

Базовая концепция системы безопасности ОС Windows семейства NT

Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

Чистого вам интернета!

Ссылка на сообщение
Поделиться на другие сайты

В посте 24 вы упомянули, что по вирлабу чисто (и потом отредактировали пост). Очень странно, что winsetup63.exe и chgkey.vbs по VT чистые.

Я советовал отправить в 2 вирлаба.

когда придет ответ, сообщите о результатах.
Ссылка на сообщение
Поделиться на другие сайты

Ответов пока больше от вирусных лабораторий не пришло.Но после всех чисток папки пока :) перестали двоиться... Всем спасибо...

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...