Verdammt Опубликовано 1 февраля, 2009 Жалоба Поделиться Опубликовано 1 февраля, 2009 Нужна помощь. log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 2 февраля, 2009 Жалоба Поделиться Опубликовано 2 февраля, 2009 Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:Services:Files:Reg[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]:Commands[purity][emptytemp][start explorer][Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
Verdammt Опубликовано 2 февраля, 2009 Автор Жалоба Поделиться Опубликовано 2 февраля, 2009 ========== PROCESSES ========== Process explorer.exe killed successfully. ========== SERVICES/DRIVERS ========== ========== FILES ========== ========== REGISTRY ========== Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys\\ deleted successfully. ========== COMMANDS ========== User's Temp folder emptied. User's Temporary Internet Files folder emptied. User's Internet Explorer cache folder emptied. Local Service Temp folder emptied. File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. Local Service Temporary Internet Files folder emptied. File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_498.dat scheduled to be deleted on reboot. Windows Temp folder emptied. FireFox cache emptied. Temp folders emptied. Explorer started successfully OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02022009_172831 Files moved on Reboot... File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot. File move failed. C:\WINDOWS\temp\Perflib_Perfdata_498.dat scheduled to be moved on reboot. Еще аваст постоянно находит руткиты и трояны, но не может их удалить. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 3 февраля, 2009 Жалоба Поделиться Опубликовано 3 февраля, 2009 (изменено) Еще аваст постоянно находит руткиты и трояны, но не может их удалить. В каких файлах? helper.exe - поищите и проверьте на virustotal.com, рез-т проверки копируйте в следующее сообщение. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:FilesH:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exeС:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b4f262ff-acfe-11dd-b5bd-b0c3f865dcdb}]:Commands[purity][emptytemp][start explorer][Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Удалите все файлы из RECYCLER на всех дисках, отключите автозапуск. Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска. После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes. Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском) Изменено 3 февраля, 2009 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Verdammt Опубликовано 6 февраля, 2009 Автор Жалоба Поделиться Опубликовано 6 февраля, 2009 Вроде все сделал как надо. В каких файлах? Иногда авасту удавалось переместить их в хранилище, но они появлялись снова. Скопировать данные из хранилища не удалось, так что сделал вот так: Сканирование выбранных файлов ------------------------------------------------------------------------------------------ Программа попытается сканировать 17 выбранных файлов в Хранилище Переместить файлы во временную папку: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp Идентификатор файла: 0000000012 Исходное имя файла: H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\12.exe Идентификатор файла: 0000000013 Исходное имя файла: C:\Documents and Settings\All Users\Документы\vywzqu.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\13.exe Идентификатор файла: 0000000014 Исходное имя файла: C:\Documents and Settings\All Users\Документы\ekpncd.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\14.exe Идентификатор файла: 0000000015 Исходное имя файла: C:\Documents and Settings\All Users\Документы\kixrda.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\15.exe Идентификатор файла: 0000000016 Исходное имя файла: C:\Documents and Settings\All Users\Документы\GameSetup.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\16.exe Идентификатор файла: 0000000017 Исходное имя файла: C:\Documents and Settings\All Users\Документы\GameSetup.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\17.exe Идентификатор файла: 0000000018 Исходное имя файла: C:\Documents and Settings\All Users\Документы\GameSetup.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\18.exe Идентификатор файла: 0000000019 Исходное имя файла: C:\Documents and Settings\All Users\Документы\GameSetup.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\19.exe Идентификатор файла: 0000000020 Исходное имя файла: C:\WINDOWS\system32\x Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\20 Идентификатор файла: 0000000021 Исходное имя файла: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4LVTT00F\mwxaokz[1].png Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\21.png Идентификатор файла: 0000000026 Исходное имя файла: C:\Documents and Settings\All Users\Документы\sxdfsx.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\26.exe Идентификатор файла: 0000000027 Исходное имя файла: C:\WINDOWS\system32\x Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\27 Идентификатор файла: 0000000028 Исходное имя файла: C:\Documents and Settings\All Users\Документы\GameSetup.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\28.exe Идентификатор файла: 0000000029 Исходное имя файла: C:\Documents and Settings\All Users\Документы\smcebl.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\29.exe Идентификатор файла: 0000000030 Исходное имя файла: C:\Documents and Settings\All Users\Документы\dpgkdu.exe Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\30.exe Идентификатор файла: 0000000031 Исходное имя файла: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4LVTT00F\bicy[1].gif Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\31.gif Идентификатор файла: 0000000032 Исходное имя файла: C:\WINDOWS\system32\x Новая папка: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\32 Сканировать файлы во временной папке: C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\12.exe\[uPX] Win32:Agent-XKO C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\12.exe - нет вирусов - C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\13.exe Win32:AutoIt-DW [Trj] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\14.exe Win32:Trojan-gen {Other} C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\15.exe Win32:Rootkit-gen [Rtk] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\16.exe Win32:Delf-KXL [Trj] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\17.exe Win32:Delf-KXL [Trj] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\18.exe Win32:Delf-KXL [Trj] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\19.exe Win32:Delf-KXL [Trj] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\20 Win32:Confi [Wrm] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\21.png Win32:Confi [Wrm] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\26.exe Win32:Trojan-gen {Other} C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\27 Win32:Confi [Wrm] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\28.exe Win32:Delf-KXL [Trj] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\29.exe Win32:AutoIt-DW [Trj] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\30.exe Win32:Rootkit-gen [Rtk] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\31.gif Win32:Confi [Wrm] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\32\[uPX] Win32:Kido-C [Wrm] C:\DOCUME~1\E25A~1\LOCALS~1\Temp\_avast4_\unp62564764.tmp\32 - нет вирусов - ------------------------------------------------------------------------------------------ Действие было завершено успешно! Как отключить автозапуск? :D Оффтоп Если установить новый драйвер на видеокарту 4-ех летнего возраста, то все будет нормально работать? ComboFix.txt gmer.log mbam_log_2009_02_06__18_05_38_.txt OTMoveIt.log ComboFix.txt gmer.log mbam_log_2009_02_06__18_05_38_.txt OTMoveIt.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 6 февраля, 2009 Жалоба Поделиться Опубликовано 6 февраля, 2009 (изменено) Очень странно, но по логу OtMoveit во временных папках у вас почти не было файлов (оттуда не удалялось совсем немного) Как отключить автозапуск? Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените. Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"="" Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf helper.exe - поищите и проверьте на virustotal.com, рез-т проверки копируйте в следующее сообщение. Аваст нашел за вас H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe В 1-м посте вы совсем не описали проблему, после приведенных логов в 5 посте становится ясно, что у вас был kido По логам ничего плохого не видно. Включите встроенный брандмауэр windows, уберите в исключениях общий доступ к файлам и принтерам, дополнительно можете воспользоваться утилитой wwdc, описание здесь Установите WindowsXP SP3 и обязательно все обновления - http://windowsupdate.microsoft.com Отключите административный доступ к дискам Твик реестра REGEDIT4[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]"AutoShareWks"=dword:00000000"AutoShareServer"=dword:00000000 Если проблема ещё осталась: Проверьте систему с помощью AVPTool и с помощью утилит: Утилита для удаления Net-Worm.Win32.Kido Утилита от bitdefender - скачайте, распакуйте файл и запустите, нажмите "Scan", если утилита ничего не найдет, появится сообщение "System clean" Утилита от Symantec Утилита от F-Secure Утилита от Eset Или поискать поискать вручную C:\windows\tasks - проверить на наличие скрытых задач, автозапуск отключить, папку Recycler (на всех дисках) очистить от всего лишнего, очистить все временные папки, в т.ч. Local Settings\Temporary Internet Files\ во всех профилях. Поискать файл с атрибутами ashr в папке system32, последнее можно попробовать так - пуск - выполнить- cmd dir C:\windows\system32\ /A:ashr поискать по имени файла ищете службу в реестре, подробнее Краткое описание и инструкция по удалению от Microsoft Изменено 6 февраля, 2009 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти