Надоела реклама сайта Files-secure.com!

[Pili]

4aster: дубль 4 :rolleyes:

скопируйте текст из ComboFix.txt и вставьте сюда, если не влезет в одно сообщение, продолжите в другом, это важно, т.к. в тексте ComboFix исп-ся bb-коды

[4aster]

Pili :-):

а что такое bb-коды?

выкладываю:

ComboFix 08-03-26.1 - Волковы 2008-03-27 11:13:35.2 - NTFSx86

Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1251.1.1049.18.1327 [GMT -8:00]

Running from: C:\Users\Волковы\Desktop\Программы\ComboFix.exe

* Resident AV is active

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat

C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat

.

---- Previous Run -------

.

C:\Program Files\akl

C:\Program Files\akl\akl.dll

C:\Program Files\akl\akl.exe

C:\Program Files\akl\uninstall.exe

C:\Program Files\akl\unsetup.exe

C:\Windows\mslagent

C:\Windows\mslagent\2_mslagent.dll

C:\Windows\mslagent\mslagent.exe

C:\Windows\mslagent\uninstall.exe

C:\Windows\qvdntlmw.dll

----- BITS: Possible infected sites -----

hxxp://bar.export.yandex.ru

.

((((((((((((((((((((((((( Files Created from 2008-02-27 to 2008-03-27 )))))))))))))))))))))))))))))))

.

No new files created in this timespan

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-27 19:10 2,621,440 --sha-w C:\Users\Волковы\NTUSER.DAT

2008-03-27 19:10 2,621,440 --sha-w C:\Users\Волковы\NTUSER.DAT

2008-03-27 05:42 13,119 ----a-w C:\Users\Волковы\AppData\Roaming\nvModes.dat

2008-03-27 01:25 11,264 ----a-w C:\Windows\system32\drivers\uzmzmjmy.sys

2008-03-26 07:29 --------- d-----w C:\Program Files\WebMoney Advisor

2008-03-25 11:12 --------- d-----w C:\Program Files\YASAMP4Converter

2008-03-25 11:12 --------- d-----w C:\Program Files\Audiograbber

2008-03-25 10:51 106,496 ----a-w C:\Windows\System32\wnsrcdet.exe

2008-03-25 10:49 --------- d-----w C:\Program Files\Xilisoft

2008-03-25 09:02 --------- d-----w C:\Program Files\MyCentria

2008-03-25 08:10 221,184 ----a-w C:\Windows\vbgtorfd.dll

2008-03-23 17:53 --------- d-----w C:\Users\Волковы\AppData\Roaming\Skype

2008-03-23 17:33 --------- d-----w C:\Users\Волковы\AppData\Roaming\skypePM

2008-03-20 11:03 --------- d-----w C:\Program Files\CyberLink

2008-03-20 10:59 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-03-20 10:19 --------- d-----w C:\ProgramData\CyberLink

2008-03-20 06:54 --------- d-----w C:\Users\Волковы\AppData\Roaming\gtk-2.0

2008-03-20 06:49 --------- d-----w C:\Program Files\K-Lite Video Conversion Pack

2008-03-20 06:06 --------- d-----w C:\Program Files\Witcobber

2008-03-19 21:00 --------- d-----w C:\Program Files\ICQ6

2008-03-19 20:52 --------- d-----w C:\Users\Волковы\AppData\Roaming\ICQ

2008-03-19 18:26 --------- d-----w C:\Program Files\ICQToolbar

2008-03-19 17:49 45,056 ----a-w C:\Windows\System32\acovcnt.exe

2008-03-15 10:46 --------- d-----w C:\Program Files\Еgosoft

2008-03-14 07:34 --------- d-----w C:\Program Files\Common Files\Nero

2008-03-14 07:33 --------- d-----w C:\ProgramData\Nero

2008-03-14 07:33 --------- d-----w C:\Program Files\Nero

2008-03-13 14:40 --------- d-----w C:\Program Files\Windows Mail

2008-03-13 08:20 --------- d---a-w C:\ProgramData\TEMP

2008-03-13 08:11 --------- d-----w C:\Users\Волковы\AppData\Roaming\WebMoney

2008-03-13 07:45 --------- d-----w C:\Program Files\WebMoney

2008-03-03 07:42 --------- d-----w C:\Program Files\Akella Games

2008-03-03 07:14 --------- d-----w C:\Program Files\Gothic II

2008-03-02 08:52 43,520 ----a-w C:\Windows\System32\CmdLineExt03.dll

2008-03-01 16:28 --------- d-----w C:\Users\Волковы\AppData\Roaming\SystemRequirementsLab

2008-03-01 16:27 --------- d-----w C:\Program Files\Java

2008-03-01 16:25 --------- d-----w C:\Program Files\Common Files\Java

2008-03-01 15:36 --------- d-----w C:\Program Files\DIFX

2008-03-01 14:49 --------- d-----w C:\Program Files\SystemRequirementsLab

2008-03-01 09:35 --------- d-----w C:\Program Files\RivaTuner v2.06

2008-03-01 08:54 --------- d-----w C:\Program Files\ConnectionServices

2008-02-26 10:29 --------- d-----w C:\Program Files\SunAge

2008-02-22 08:58 --------- d-----w C:\Program Files\Новый Диск

2008-02-22 08:40 --------- d-----w C:\Program Files\Common Files\Adobe

2008-02-21 08:24 107,888 ----a-w C:\Windows\System32\CmdLineExt.dll

2008-02-21 08:24 --------- d--h--r C:\Users\Волковы\AppData\Roaming\SecuROM

2008-02-21 07:46 --------- d-----w C:\Program Files\Canon

2008-02-21 07:30 --------- d-----w C:\ProgramData\SimCity Societies

2008-02-18 11:54 --------- d-----w C:\Program Files\ImTOO

2008-02-18 10:14 --------- d-----w C:\Program Files\Таймер

2008-02-18 09:51 --------- d-----w C:\ProgramData\Pinnacle Studio

2008-02-18 09:50 --------- d-----w C:\ProgramData\Pinnacle

2008-02-18 09:48 --------- d-----w C:\Program Files\Pinnacle

2008-02-14 09:40 --------- d-----w C:\Users\Волковы\AppData\Roaming\dvdcss

2008-02-13 04:30 194,560 ----a-w C:\Windows\System32\WebClnt.dll

2008-02-13 04:30 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys

2008-02-13 04:28 595,456 ----a-w C:\Windows\System32\schedsvc.dll

2008-02-13 04:23 824,832 ----a-w C:\Windows\System32\wininet.dll

2008-02-13 04:23 56,320 ----a-w C:\Windows\System32\iesetup.dll

2008-02-13 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll

2008-02-13 04:23 26,624 ----a-w C:\Windows\System32\ieUnatt.exe

2008-02-08 04:06 --------- d-----w C:\Program Files\ESET

2008-02-05 04:37 --------- d-----w C:\Program Files\Recuva

2008-01-31 08:31 --------- d-----w C:\Program Files\Ubersoldier

2008-01-16 08:34 11,776 ----a-w C:\Windows\System32\sbunattend.exe

2008-01-14 11:07 51 ----a-w C:\tmp.bat

2008-01-09 13:57 32 ----a-w C:\Users\All Users\ezsid.dat

2008-01-09 13:57 32 ----a-w C:\ProgramData\ezsid.dat

2008-01-08 05:15 9,728 ----a-w C:\Windows\System32\ftlx041e.dll

2008-01-08 05:15 9,216 ----a-w C:\Windows\System32\ftlx0411.dll

2008-01-08 05:15 296,960 ----a-w C:\Windows\winhlp32.exe

2008-01-08 05:15 194,560 ----a-w C:\Windows\System32\ftsrch.dll

2007-12-19 15:54 174 --sha-w C:\Program Files\desktop.ini

2007-10-20 20:17 8 ----a-w C:\Users\Волковы\AppData\Roaming\usb.dat.bin

2007-09-16 20:07 185,266 ----a-w C:\Program Files\INSTALL.LOG

2007-06-10 01:50 65,536 ----a-w C:\Users\All Users\accdump.exe

2007-06-10 01:50 65,536 ----a-w C:\ProgramData\accdump.exe

2007-05-25 23:15 57,344 ----a-w C:\Users\All Users\VistaLib32.dll

2007-05-25 23:15 57,344 ----a-w C:\ProgramData\VistaLib32.dll

1999-06-25 06:55 149,504 ----a-w C:\Program Files\UNWISE.EXE

2007-11-01 13:33 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

2007-11-01 13:33 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

2007-11-01 13:33 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

.

Pili :-):

выкладываю-2:

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}]

2008-02-03 22:16 534016 --a------ C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}]

2008-03-25 01:02 275644 --a------ C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{09900DE8-1DCA-443F-9243-26FF581438AF}"= "C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL" [2008-02-03 22:16 534016]

[HKEY_CLASSES_ROOT\clsid\{09900de8-1dca-443f-9243-26ff581438af}]

[HKEY_CLASSES_ROOT\MailRu.MailRuSputnikObj.1]

[HKEY_CLASSES_ROOT\MailRu.MailRuSputnikObj]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

"{09900DE8-1DCA-443F-9243-26FF581438AF}"= C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL [2008-02-03 22:16 534016]

[HKEY_CLASSES_ROOT\clsid\{09900de8-1dca-443f-9243-26ff581438af}]

[HKEY_CLASSES_ROOT\MailRu.MailRuSputnikObj.1]

[HKEY_CLASSES_ROOT\MailRu.MailRuSputnikObj]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-21 23:23 221568]

"LaunchList"="C:\Program Files\Pinnacle\Studio 11\LaunchList2.exe" [2007-03-21 15:41 145496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-02-12 01:37 174872]

"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 01:07 4390912 C:\Windows\RtHDVCpl.exe]

"ATKMEDIA"="C:\Program Files\ASUS\ATK Media\DMEDIA.EXE" [2006-11-01 20:27 61440]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-01 05:24 857648]

"ASUS Screen Saver Protector"="C:\Windows\ASScrPro.exe" [2007-09-16 10:17 33136]

"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-12 21:16 528384]

"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-11-01 12:43 949376]

"MAgent"="C:\Program Files\Mail.Ru\Agent\magent.exe" [2008-02-03 22:16 4457976]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-04-04 03:41 86016]

"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-04-04 03:41 8429568]

"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-04-04 03:41 81920]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Tutor.exe"=C:\Program Files\ABBYY Lingvo 12\Tutor.exe /AS

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Lingvo Launcher"="C:\Program Files\ABBYY Lingvo 12\Lvagent.exe" /STARTUP

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-830628834-1611894723-4127578238-1000]

"EnableNotifications"=dword:00000001

"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"TCP Query User{0C9DC9B3-15DA-440F-ABC0-127ACF31EE55}C:\\program files\\common files\\ahead\\nero web\\setupx.exe"= UDP:C:\program files\common files\ahead\nero web\setupx.exe:MSI starter

"UDP Query User{5999FAEC-71EA-4965-9BF4-1C17A235633B}C:\\program files\\common files\\ahead\\nero web\\setupx.exe"= TCP:C:\program files\common files\ahead\nero web\setupx.exe:MSI starter

"TCP Query User{4A884B65-4E96-4123-A154-3B7C4187C40F}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library

"UDP Query User{4B3E895A-CC3B-459A-AB35-CFA4849EB2DA}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library

"TCP Query User{62B83397-FDB0-459F-8FB2-B3B802E617A2}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox

"UDP Query User{A518F8BC-443A-42DC-9738-4FCA097F1E5E}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox

"{1449F004-7CF1-45AB-86B4-0D5A46D06197}"= UDP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent

"{A444756E-5477-4AF5-824C-1B3A095A161E}"= TCP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent

"TCP Query User{1D576763-6303-4DB7-9080-6B9B96460514}C:\\program files\\mail.ru\\agent\\magent.exe"= UDP:C:\program files\mail.ru\agent\magent.exe:Mail.Ru Агент

"UDP Query User{509E066C-A8D1-4AC6-B13E-E7C42DA28532}C:\\program files\\mail.ru\\agent\\magent.exe"= TCP:C:\program files\mail.ru\agent\magent.exe:Mail.Ru Агент

"{A2E91CCD-0840-4EB9-A0E5-41EBFB3BD37E}"= UDP:C:\Program Files\Pinnacle\Studio 11\programs\RM.exe:Render Manager

"{43869FEC-6389-488F-A788-BE1BF337239D}"= TCP:C:\Program Files\Pinnacle\Studio 11\programs\RM.exe:Render Manager

"{1ADD9DC9-51C0-41B9-8D85-4EB4E9A19039}"= UDP:C:\Program Files\Pinnacle\Studio 11\programs\Studio.exe:Studio

"{26732AAA-77B2-46B0-80E7-1C283CBE85BD}"= TCP:C:\Program Files\Pinnacle\Studio 11\programs\Studio.exe:Studio

"{2FEB0387-38E8-4485-B18C-DDF3D85EEE9B}"= UDP:C:\Program Files\Pinnacle\Studio 11\programs\PMSRegisterFile.exe:PMSRegisterFile

"{7249F34C-E24A-40B6-AE66-CD2DB16C00CF}"= TCP:C:\Program Files\Pinnacle\Studio 11\programs\PMSRegisterFile.exe:PMSRegisterFile

"{C5D50CF7-B4FE-4159-B822-691ED2F84D62}"= UDP:C:\Program Files\Pinnacle\Studio 11\programs\umi.exe:umi

"{603D9B6F-EB48-494E-BDB0-653480D9184A}"= TCP:C:\Program Files\Pinnacle\Studio 11\programs\umi.exe:umi

"{80DD8A00-4877-4D65-93DA-B2465D07BE59}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype

"{29929C9A-F022-4A45-A4A3-8C39DCA1566A}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]

"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

"DoNotAllowExceptions"= 0 (0x0)

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\Windows\system32\drivers\sfdrv01a.sys [2006-07-05 04:46]

R1 uzmzmjmy;AVZ-RK Kernel Driver;C:\Windows\system32\Drivers\uzmzmjmy.sys [2008-03-26 17:25]

R2 SVKP;SVKP;C:\Windows\system32\SVKP.sys [2007-09-20 10:28]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\Windows\system32\DRIVERS\atl01v32.sys [2007-03-14 22:41]

S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\Windows\system32\DRIVERS\s115bus.sys [2007-04-23 04:54]

S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\Windows\system32\DRIVERS\s115mdfl.sys [2007-04-23 04:54]

S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\Windows\system32\DRIVERS\s115mdm.sys [2007-04-23 04:54]

S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\Windows\system32\DRIVERS\s115mgmt.sys [2007-04-23 04:54]

S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\Windows\system32\DRIVERS\s115obex.sys [2007-04-23 04:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4b80a69-b1f9-11dc-b484-001b7731fef4}]

\shell\AutoRun\command - WD_Windows_Tools\setup.exe

.

Contents of the 'Scheduled Tasks' folder

"2008-03-27 19:15:03 C:\Windows\Tasks\User_Feed_Synchronization-{57837068-4556-4C93-A0FB-2C27B8957BCD}.job"

- C:\Windows\system32\msfeedssync.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-27 11:16:25

Windows 6.0.6000 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-03-27 11:16:57

ComboFix-quarantined-files.txt 2008-03-27 19:16:54

Не удается найти текст сообщения с номером 0x2379 в файле сообщений Application.

Не удается найти текст сообщения с номером 0x2379 в файле сообщений Application.

.

2008-03-13 11:01:33 --- E O F ---

[Pili]

bb-коды это когда например так текст

у вас было AdWare.Win32.Vapsup.dan

c:\windows\system32\wnsrcdet.exe - новый, Backdoor.Win32.Agent.gax по ЛК, можете скачать новый AVPTool и проверить систему

Некоторые файлы в карантин не попали, поищите вручную (можно лучше через AVZ - сервис - поиск файлов)

C:\Program Files\ATKGFNEX\ASMMAP.sys

c:\programdata\yxinapgd\ipirarid.exe

C:\Windows\system32\DRIVERS\ipinip.sys

и ещё

c:\windows\rthdvcpl.exe

заархивируйте с паролем virus и пришлите на user15802[at]mail.ru или добавьте в карантин, если найдете в AVZ

деинсталлируйте ComboFix, пуск-выполнить - ComboFix /u

C:\Program Files\akl

C:\Windows\mslagent

сами ставили? если нет - деинсталлируйте/удалите

выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\ProgramData\accdump.exe','');QuarantineFile('C:\Users\All Users\accdump.exe','');QuarantineFile('c:\windows\rthdvcpl.exe','');DeleteFile('c:\windows\system32\wnsrcdet.exe');DeleteFile('C:\Windows\vbgtorfd.dll');BC_ImportALL;ExecuteSysClean;BC_Activate;ClearHostsFile;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru в теле письма указать ссылку на тему.

повторите логи virusinfo_syscheck.zip, hijackthis

[4aster]

Pili

вот что получилось, а что нет:

1. файлы нашел только частично, т.к. часть удалил вручную вчера после самостоятельной попытки чтения логов :-) (система осталась жива, считаю это уже успехом!). найденое добавил в карантин в АВЗ

2. деинсталлировал ComboFix, вылезла проблема - пропал фоновый рисунок рабочего стола и файлы в папках эскизами не показывает (имена есть, картинок нет)

3. C:\Program Files\akl и C:\Windows\mslagent не нашел, т.е не деинсталлировал/не удалил

4. скрипты в AVZ выполнил, файл отправил

5. логи выложу повторно после проверки АВПтулом, если скачаю...

6. что делать с фоном и эскизами, не знаю... пока...

7. в сотый раз благодарен за самоотверженную помощь!!! :-)))

[4aster]

Pili

по представленной ранее ссылке АВПТула не нашел (скачивается, но не устанавливается), и в инете что-то нет... куда делся?

мож опять что не так делаю? Голова кругом, руки вперед мысли что -то делают...

перекурю и логами займусь...

[4aster]

логи:

virusinfo_syscheck.zip

hijackthis.zip

virusinfo_syscheck.zip

hijackthis.zip

[4aster]

Pili

деинсталлировал ComboFix, вылезла проблема - пропал фоновый рисунок рабочего стола и файлы в папках эскизами не показывает (имена есть, картинок нет)

вот скрин как это выглядит...

problem.zip

problem.zip

[Pili]

по представленной ранее ссылке АВПТула не нашел (скачивается, но не устанавливается), и в инете что-то нет... куда делся?

проверил только что, ссылка на AVPTool работает, например есть http://devbuilds.kaspersky-labs.com/devbui....2008_13-31.exe

и как это

скачивается, но не устанавливается

если скачивается значит нашел что скачивать, если не устанавливается значит недокачалось или скачалось с ошибкой (проверить размер)

что насчет файлов

C:\Program Files\ATKGFNEX\ASMMAP.sys

c:\programdata\yxinapgd\ipirarid.exe

C:\Windows\system32\DRIVERS\ipinip.sys

c:\windows\rthdvcpl.exe

нашлись/не нашлись? В карантине их не было, хотя судя по ini файлу rthdvcpl.exe должен быть (размер по ini не нулевой и судя по prevx - зловред), что найдется проверьте на virustotal.com и подозрительные файлы отправьте на newvirus@kaspersky.com

и ещё проверьте C:\Windows\ASScrPro.exe судя greatis тоже м.б. зловред

результат сообщите

Ещё выполните скрипт

beginExecuteRepair(2);ExecuteRepair(3);ExecuteRepair(4);ExecuteRepair(5);ExecuteRepair(6);ExecuteRepair(8);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);end.

[4aster]

Pili [\b]

1. насчет файлов:

C:\Program Files\ATKGFNEX\ASMMAP.sys - здоров (проверил на сайте)

c:\programdata\yxinapgd\ipirarid.exe - удалил вручную позавчера... (надо было в лабкасп заслать...)

C:\Windows\system32\DRIVERS\ipinip.sys - удалил вручную позавчера... (надо было в лабкасп заслать...)

c:\windows\rthdvcpl.exe - чистый (проверил на сайте) это экзешник риалтека какой-то

C:\Windows\ASScrPro.exe - чистый (проверил на сайте)

2. Респект и уважуха, Pili ! ... к сожалению, или наоборот, не прощаюсь, с моими руками из ж... и головой в интернете одни приключения на ... (в общем откуда руки)

:rolleyes:

[4aster]

Pili

к сожалению проблема с фоновым рисунком и эскизами осталась! И AVPTool скачал по ссылке, без ошибок, но не запускается...

вот прилагаю сигнатуру проблемы: ... :rolleyes:

Pili

если есть конечно желание добить решение данной проблемы. И так помощь огромна: почистил хоть машинку-то... :nerd:

signatura.zip

signatura.zip

[Pili]

4aster: файлы удаляли вручную с помощью скрипта? скрипты восстановления применяли? Файлы c:\windows\rthdvcpl.exe и C:\Windows\ASScrPro.exe отошлите в ЛК на всякий случай.

выполните ещё скрипт

beginExecuteRepair(1);ExecuteRepair(9);ExecuteRepair(16);RebootWindows(true);end.

AVPTool м.б не запускается из-за вкл. антивир. или др. защитной программы, отключите и попробуйте ещё раз

Попробуйте применить xp_taskbar_desktop_fixall

ещё можно посмотреть/поискать тут и тут

Если проблема не решится

Сделайте заново все логи и ещё доп. логи с помощью утилиты Deckard's System Scanner. Скачайте, закройте все программы, включая антивирусные программы и firewall, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из main.txt и extra.txt и вставьте (Ctrl+V) скопированный текст из main.txt и extra.txt в окно вашего сообщения, если проверка с помощью AVPTool не получилась (с помощью cureit проверялись?), проверьтесь с помошью http://www.kaspersky.com/kos/russian/kavwebscan.html - сохраните лог, запакуйте и выложите

Изменено 31 марта, 2008 пользователем Pili

[4aster]

уважаемый Pili :

мощно это все!

сделал проще: репаир виндовс виста с загрузочного диска (т.к. точек восстановления нет)

в итоге все нормуль! проверил логи сам - ничего незнакомого! считаю, что все ок... до поры до времени...

преклоняюсь перед вашими знаниями, умением, выдержкой наконец! огромное спасиб!!!

"поощрение с занесением в личное дело" так сказать

до встречи... если обнаружатся проблемы... а это 99,9%... :D

[Pili]

4aster: пожалуйста )

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге.

[DoctorV]

Здравствуйте. У мня та же проблема- сообщение System Error... и предложение загрузить "антивирус" Files-Secure. Раньше была такая же штука, только прога называлась Spy Shredder. Но там я нашел паразитный процесс и почистил реестр, а здесь такого процесса нет! Он встраивается в системные процессы, что ли? Ини один антивирь с ним не справляется.

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Pili]

DoctorV: В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('Schedule');SetServiceStart('Schedule', 4);QuarantineFile('C:\WINDOWS\system32\config\systemprofile\cftmon.exe','');QuarantineFile('C:\WINDOWS\system32\ntos.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\WINDOWS\cndr32a.dll','');DeleteService('Schedule');DeleteFile('C:\WINDOWS\cndr32a.dll');DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');DeleteFile('C:\WINDOWS\system32\config\systemprofile\cftmon.exe');DelBHO('{38E4618F-E3E4-42E9-925F-6B02C798BD94}');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ (личку)

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если останется)

F2 - REG:system.ini: UserInit=userinit.exeO2 - BHO: FLW Viewer - {38E4618F-E3E4-42E9-925F-6B02C798BD94} - C:\WINDOWS\cndr32a.dllO4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exeO4 - HKLM\..\Run: [autoload] C:\WINDOWS\system32\config\systemprofile\cftmon.exe

Повторите логи

[DoctorV]

Pili, спасибо, помогло. Только почему производители антивирусов не хотят включить этот вирус в свои базы?

i

Уведомление:

Файл с карантином прибил. Последуйте совету, данному ниже, не надо выкладывать заразу на форум

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 10 апреля, 2008 пользователем Ray

[Matias]

Не надо прикреплять карантин к теме. Выложите его на какой-нибудь файлообменник, а ссылку отправьте Pili в приват. Уберите файл карантина из темы.

Изменено 10 апреля, 2008 пользователем Matias

[Pili]

DoctorV: где карантин?

cndr32a.dll уже знает касперский (с 8 апреля) - можете файл проверить на virustotal.com теперь его скорее всего большеантивирусов знают, Олегу Зайцеву (AVZ) и в DrWeb файл ушел 2 дня назад, насчет остальных файлов карантина не знаю, т.к. карантина от вас нет ни в почте и в ПМ

в логах чисто, если не считать некоторых, скорее всего несуществующих служб и файлов (типа I:\INSTALL\GMSIPCI.SYS) - можно их удалить скриптом, если хотите, но это необязательно (тогда ещё лог GetSystemInfo (GSI) или Deckard's System Scanner нужен)

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не нужно?

[DoctorV]

Пардон, больше выкладывать не буду.

Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Да мне из этого ничего не нужно

[Pili]

В карантин ничего, кроме уже известного cndr32a.dll не попало

Выполните скрипт

beginRegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);end.

Для профилактики от автозапуска со съемных носителей, cкопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""

Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета!

[DoctorV]

Спасибо. Книжку прочитал, рекомендации выполнил. Поставил еще Outpost Firewall