cand Опубликовано 4 февраля, 2009 Жалоба Поделиться Опубликовано 4 февраля, 2009 Доброго времени суток, уважаемые гуру! Что-то мой Аваст начал ругаться на вирус. Решил почистить систему как здесь написано, только после удаления вирусов интернет сильно тормозить начал, по ссылкам переходить отказывается. Вобщем не пойму что творится. У провайдера точно все нормально, потому что зашел сейчас с другой операционки - нормально бегает. Посмотрите пожалуйста логи. virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 4 февраля, 2009 Жалоба Поделиться Опубликовано 4 февраля, 2009 PartyPoker - играете? Adobe Acrobat 7.0 - установите версию 9.0 bonjour - нужен? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('G:\WINDOWS\system32\cssdll32.dll','');QuarantineFile('G:\RECYCLER\S-1-5-21-3559015292-4685738038-378118978-4451\winlogon.exe','');QuarantineFile('G:\Program Files\MediaCoder\SysInfo.sys','');QuarantineFile('g:\windows\system32\drivers\sctri.exe','');DeleteFile('g:\windows\system32\drivers\sctri.exe');DeleteFile('G:\RECYCLER\S-1-5-21-3559015292-4685738038-378118978-4451\winlogon.exe');DeleteFile('G:\Program Files\AskBarDis\bar\bin\askBar.dll');DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');BC_ImportALL;ExecuteRepair(16);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки O20 - AppInit_DLLs: G:\WINDOWS\system32\cssdll32.dll Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:Services:FilesH:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6dc7a4e2-c170-11dd-a81b-000000000000}]:Commands[purity][emptytemp][start explorer][Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
cand Опубликовано 4 февраля, 2009 Автор Жалоба Поделиться Опубликовано 4 февраля, 2009 Спасибо, сейчас пропробую! Ссылка на комментарий Поделиться на другие сайты Поделиться
cand Опубликовано 4 февраля, 2009 Автор Жалоба Поделиться Опубликовано 4 февраля, 2009 Сделал как вы написали. Посылаю лог. ========== PROCESSES ========== Process explorer.exe killed successfully. ========== SERVICES/DRIVERS ========== ========== FILES ========== File/Folder H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe not found. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6dc7a4e2-c170-11dd-a81b-000000000000}\\ deleted successfully. ========== COMMANDS ========== File delete failed. G:\DOCUME~1\CH_AND~1\LOCALS~1\Temp\JETAE70.tmp scheduled to be deleted on reboot. User's Temp folder emptied. User's Temporary Internet Files folder emptied. User's Internet Explorer cache folder emptied. Local Service Temp folder emptied. File delete failed. G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. Local Service Temporary Internet Files folder emptied. File delete failed. G:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot. File delete failed. G:\WINDOWS\temp\Perflib_Perfdata_534.dat scheduled to be deleted on reboot. Windows Temp folder emptied. FireFox cache emptied. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\adoc.bx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\md.dat scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\url.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\w.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\wb.vx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\adoc.bx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\md.dat scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\url.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\w.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\wb.vx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\adoc.bx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\md.dat scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\url.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\w.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\wb.vx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\adoc.bx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\md.dat scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\url.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\w.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\wb.vx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\adoc.bx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\md.dat scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\url.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\w.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\wb.vx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\adoc.bx scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\md.dat scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\url.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\w.ax scheduled to be deleted on reboot. File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\wb.vx scheduled to be deleted on reboot. Opera cache emptied. Temp folders emptied. Explorer started successfully OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02042009_104807 Files moved on Reboot... File G:\DOCUME~1\CH_AND~1\LOCALS~1\Temp\JETAE70.tmp not found! G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully. G:\WINDOWS\temp\_avast4_\Webshlock.txt moved successfully. File G:\WINDOWS\temp\Perflib_Perfdata_534.dat not found! G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\adoc.bx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\md.dat moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\url.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\w.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\wb.vx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\adoc.bx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\md.dat moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\url.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\w.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\wb.vx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\adoc.bx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\md.dat moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\url.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\w.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\wb.vx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\adoc.bx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\md.dat moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\url.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\w.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\wb.vx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\adoc.bx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\md.dat moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\url.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\w.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\wb.vx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\adoc.bx moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\md.dat moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\url.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\w.ax moved successfully. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\wb.vx moved successfully. Спасибо огромное, за то, что помогаете. А теперь, просто из любопытства вопрос. Вы просите отсылать логи потому что базу данных собираете? 02042009_104807.log 02042009_104807.log Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 4 февраля, 2009 Жалоба Поделиться Опубликовано 4 февраля, 2009 Теперь логи AVZ и RSIT. Посмотрим, что осталось. Ссылка на комментарий Поделиться на другие сайты Поделиться
cand Опубликовано 4 февраля, 2009 Автор Жалоба Поделиться Опубликовано 4 февраля, 2009 Не нашел строчку: G:\WINDOWS\system32\cssdll32.dll Хотя O20 - AppInit_DLLs: - нашел сразу. Или они все же на одной строчке находились и я просто не заметил? Вот что получилось. И еще скажите пожалуйста как отключить удаленный рабочий стол. А то мне AVZ выдал, что оказывается у меня не заблокирована возможность управления моим компьютером с удаленного рабочего стола. Во всяком случае я так понял. log.txt virusinfo_syscheck.zip log.txt virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 4 февраля, 2009 Жалоба Поделиться Опубликовано 4 февраля, 2009 И еще скажите пожалуйста как отключить удаленный рабочий стол. begin SetServiceStart('RDSessMgr', 4); end. Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\SCtri.exeO20 - AppInit_DLLs: G:\WINDOWS\system32\cssdll32.dll Лог RSIT старый? Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Как самочуствие? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 4 февраля, 2009 Жалоба Поделиться Опубликовано 4 февраля, 2009 Файлы получил. Отправил в вирлаб. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 4 февраля, 2009 Жалоба Поделиться Опубликовано 4 февраля, 2009 sctri.exe_ - Backdoor.Win32.SdBot.kdo, winlogon.exe_ - P2P-Worm.Win32.Palevo.o Ссылка на комментарий Поделиться на другие сайты Поделиться
cand Опубликовано 4 февраля, 2009 Автор Жалоба Поделиться Опубликовано 4 февраля, 2009 Вот лог от Malwarebytes: Malwarebytes' Anti-Malware 1.33 Версия базы данных: 1725 Windows 5.1.2600 Service Pack 3 04.02.2009 17:50:18 mbam-log-2009-02-04 (17-50-18).txt Тип проверки: Полная (C:\|D:\|G:\|Z:\|) Проверено объектов: 505005 Прошло времени: 4 hour(s), 13 minute(s), 1 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 2 Заражено значений реестра: 0 Заражено параметров реестра: 0 Заражено папок: 0 Заражено файлов: 2 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully. Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: D:\Андрей\WPA_kill2\AntiWPA_Crypt.dll (Hacktool) -> Quarantined and deleted successfully. G:\Documents and Settings\Ch_Andrey\Application Data\Luxology\keygen.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. И все же вот те строчки, которые Вы посоветовали пофиксить, я их не нашел. sctri.exe_ - Backdoor.Win32.SdBot.kdo, winlogon.exe_ - P2P-Worm.Win32.Palevo.o akoK Это звери которые у меня завелись? Название впечатляет! :rolleyes: Только бы вывести удалось! Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 4 февраля, 2009 Жалоба Поделиться Опубликовано 4 февраля, 2009 А теперь, просто из любопытства вопрос. Вы просите отсылать логи потому что базу данных собираете? Для полноты рекомендаций мне необходимо знать, что поймали :bye1: А смысл мне от этой базы? akoK Это звери которые у меня завелись? Название впечатляет! Только бы вывести удалось! Уже вывели :blushing: Ссылка на комментарий Поделиться на другие сайты Поделиться
cand Опубликовано 4 февраля, 2009 Автор Жалоба Поделиться Опубликовано 4 февраля, 2009 Спасибо огромное! :blushing: Ребят вы великое дело делаете! Я если честно, не знал, что все так серьезно. Ну, ругается Аваст, ну, и ладно. Комп-то работал. Нет, конечно, понимал, что просто так он вопить не будет, но надеялся, что он сам их удалит. Я ведь нажимал кнопку Delete :bye1: Теперь буду внимательнее. А Saule сейчас здесь совсем не появляется? Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость BaeFF Опубликовано 13 февраля, 2009 Жалоба Поделиться Опубликовано 13 февраля, 2009 (изменено) Привет,у меня ХР SP3 поставил недавно...при сканировании Outpost PRO 2009 нашёл "вредоносный объект:Shadow Generic File (Suspiciosus) в с:windows\explorer.exe"...Подскажите ,что с ним делать?..пока поставил на пропуск... :bye1: ! Предупреждение:Дубль поста в теме по Outpost удален. Изменено 13 февраля, 2009 пользователем Ray Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 13 февраля, 2009 Жалоба Поделиться Опубликовано 13 февраля, 2009 BaeFF: какая сборка windows? А Saule сейчас здесь совсем не появляется? Увы :bye1: Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость BaeFF Опубликовано 13 февраля, 2009 Жалоба Поделиться Опубликовано 13 февраля, 2009 ну да..сборка...так что делать,шпиёён?...Знакомый говорит удалять,шпиёён..хм..просто веру не охота терять в добро..оно и так на исдыхании... :doh: Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 13 февраля, 2009 Жалоба Поделиться Опубликовано 13 февраля, 2009 попробуйте удалить... Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 14 февраля, 2009 Жалоба Поделиться Опубликовано 14 февраля, 2009 (изменено) При сканировании Outpost PRO 2009 нашёл "вредоносный объект:Shadow Generic File (Suspiciosus) в с:windows\explorer.exe"...Подскажите ,что с ним делать?.. Проверьте файл на VirusTotal, скорее всего это ложное срабатывание Аутпоста. Изменено 14 февраля, 2009 пользователем Matias Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость BaeFF Опубликовано 15 февраля, 2009 Жалоба Поделиться Опубликовано 15 февраля, 2009 да вы правы,сфолил...правда я уже удалил...и винду переустановил,пришлось..одна картинка на рабочем столе и ни одного ярлыка,F8(хотел откать сделать) тоже не сработал :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти