Перейти к содержанию
Правила раздела

RECYCLER и RECYCLED [LOG+]

andrey_zaraza

От andrey_zaraza
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Alex56 Постоялец

Alex56

Опубликовано
Опубликовано

Скачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
andrey_zaraza Новичок

andrey_zaraza

Опубликовано
  • Автор
Опубликовано
Скачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.

 

 

Держите пожалуйста

Extras.Txt

OTViewIt.rar

Ссылка на комментарий
Поделиться на другие сайты
Alexey_I Постоялец

Alexey_I

Опубликовано
Опубликовано

andrey_zaraza, здравствуйте. При проверке МВАМ вы выбрали Тип проверки: Быстрая, выберите полную проверку и повторите сканирование, выложите новый лог.

Включите брандмауэр windows.

Radmin деинсталлируйте и пофиксите 

O20 - AppInit_DLLs: G:\WINDOWS\system32\rserver30\newtstop.dll

Total Commander Podarok Edition также деинсталлируйте.

Adobe Acrobat рекомендую обновить

Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services
mpr_freader

:Files
G:\WINDOWS\System32\drivers\ovfsth.sys
G:\WINDOWS\system32\rserver30\newtstop.dll
H:\Total Commander Podarok Edition\Programm\Mpr\mpr_freader.sys

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=""
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dec6154f-6e40-11dd-ac33-806d6172696f}]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) файлы: 

G:\WINDOWS\Domino.exe
G:\Program Files\oovooToolbar\oovooToolbar.dll
G:\WINDOWS\System32\winsetup63.exe
G:\WINDOWS\chgkey.vbs

Запакуйте в архив с паролем infected и отправьте в вирлаб на newvirus@kaspersky.com, и, т.к. вы используете ESET, на samples@esetnod32.ru, указав пароль в письме когда придет ответ, сообщите о результатах.

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.

После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.

Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

 

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

 

Как использовать ComboFix - how-to-use-combofix (на англ.яз.)

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
Поделиться на другие сайты
Alexey_I Постоялец

Alexey_I

Опубликовано
Опубликовано

Уберите файл infected.rar из вложений.

g:\windows\system32\termsrv.dll

g:\windows\system32\dllcache\mstinit.exe

проверьте на virustotal.com, результат сообщите

G:\WINDOWS\chgkey.vbs в вирлаб отправляли? Файл вам знаком? Если нет - отправьте.

ComboFix запускали до выполнения скрипта OtMoveIt?

Ждем ответа из вирлаба

У вас Windows XP SP2, поэтому рекомендую включить брандмауэр windows, после окончания лечения установите SP3 и все обновления.

Ссылка на комментарий
Поделиться на другие сайты
andrey_zaraza Новичок

andrey_zaraza

Опубликовано
  • Автор
Опубликовано (изменено)

проверено по virustotal.com -все очень чисто Результат: 0/40 (0%).По вирлабу ответа пока не пришло и тишина....

Изменено пользователем andrey_zaraza
Ссылка на комментарий
Поделиться на другие сайты
Alexey_I Постоялец

Alexey_I

Опубликовано
Опубликовано

Ну если Результат: 0/40 (0%) по всем файлам и чисто по вирлабу, значит ничего вредоносного в логах.

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Запустите OTMoveIt3 и нажмите ”CleanUp!”

 

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus

Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы

Советую прочитать

Безопасный Интернет. Универсальная защита для Windows ME - Vista,

Базовая концепция системы безопасности ОС Windows семейства NT

Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

Чистого вам интернета!

Ссылка на комментарий
Поделиться на другие сайты
Alexey_I Постоялец

Alexey_I

Опубликовано
Опубликовано

В посте 24 вы упомянули, что по вирлабу чисто (и потом отредактировали пост). Очень странно, что winsetup63.exe и chgkey.vbs по VT чистые.

Я советовал отправить в 2 вирлаба.

когда придет ответ, сообщите о результатах.
Ссылка на комментарий
Поделиться на другие сайты
andrey_zaraza Новичок

andrey_zaraza

Опубликовано
  • Автор
Опубликовано

Ответов пока больше от вирусных лабораторий не пришло.Но после всех чисток папки пока :) перестали двоиться... Всем спасибо...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Anix
      log работы ELPACO-team
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
×
×
  • Создать...