Jump to content
СофтФорум - всё о компьютерах и не только

Что-то мне тут не нравится


Recommended Posts

1. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить"

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('e:\windows\system32\servises.exe');QuarantineFile('e:\windows\system32\servises.exe','');DeleteFile('e:\windows\system32\servises.exe');BC_ImportALL;ExecuteSysClean;ExecuteRepair(6);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Выполните еще этот скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip отправьте на newvirus@kaspersky.com

2. Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:FilesE:\1.exeH:\1.exeI:\1.exeH:\v0s.cmdH:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exeH:\LaunchU3.exeI:\jfjtdx.exeE:\WINDOWS\system32\update45683559.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c2b3330-0ae6-11de-9e40-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b543f2d1-e60b-11dc-85c2-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa507ea0-309c-11de-9ea7-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffb673d0-0bdc-11de-9e44-00195b38c377}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Сделайте новые логи

Link to comment
Share on other sites

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

File/Folder E:\1.exe not found.

File/Folder H:\1.exe not found.

File/Folder I:\1.exe not found.

File/Folder H:\v0s.cmd not found.

File/Folder H:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe not found.

File/Folder H:\LaunchU3.exe not found.

File/Folder I:\jfjtdx.exe not found.

E:\WINDOWS\system32\update45683559.exe moved successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c2b3330-0ae6-11de-9e40-00195b38c377}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b543f2d1-e60b-11dc-85c2-00195b38c377}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa507ea0-309c-11de-9ea7-00195b38c377}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffb673d0-0bdc-11de-9e44-00195b38c377}\\ deleted successfully.

========== COMMANDS ==========

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 05112009_151644

Files moved on Reboot...

E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.

Link to comment
Share on other sites

Где новые логи.

Сделайте еще следующее:

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe.

Link to comment
Share on other sites

Так не все же сразу! Вот, уже готовы.

Почему программа пишет, что разрешен автозапуск с разных носителей, если он давным-давно отключен?

Сейчас займусь следующим.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe.

Не могу взять. Открывается страничка только из кеша. Не загружается. Можно какое-нибудь зеркало? Или на почту.

logs_2.rar

logs_2.rar

Link to comment
Share on other sites

Отключение автозапуска

beginRegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);	end.

Что с проблемами, ничего плохого в логах не увидел, может Gmer покажет.

Ссылка рабочая может что-то на сайте.

Link to comment
Share on other sites

Что с проблемами, ничего плохого в логах не увидел, может Gmer покажет.

Ссылка рабочая может что-то на сайте.

Откуда взялся автозапуск, если его не было? Не пользуюсь автозапуском год уже, со времени регистрации на сайте. И в других местах отключаю.

Link to comment
Share on other sites

Откуда взялся автозапуск, если его не было? Не пользуюсь автозапуском год уже, со времени регистрации на сайте. И в других местах отключаю.

Это зловреды постарались.

Что с проблемами и с логом Gmer?

Link to comment
Share on other sites

Откуда взялся автозапуск, если его не было? Не пользуюсь автозапуском год уже, со времени регистрации на сайте. И в других местах отключаю.

Просто АВЗ смотрит другой параметр реестра, согласно которуму она считает включённым автозапуск, хотя он и отключен. В этом нет ничего страшного.

Link to comment
Share on other sites

Просто АВЗ смотрит другой параметр реестра, согласно которуму она считает включённым автозапуск, хотя он и отключен. В этом нет ничего страшного.

Да нет, он и вправду откуда-то взялся. Специально вставила флешку, и система нашла, какое там на ней содержимое. До тестирования все было отключено.

Alex56: сбоев вроде нет. Сейчас новой темой ставлю другой комп. Там АВЗ нашет что-то интересное.

Link to comment
Share on other sites

Кстати, вот ответ из Касперского на карантин

servises.exe - Email-Worm.Win32.Joleee.baw

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Edited by dytyna
Link to comment
Share on other sites

Ну раз проблем нет, то хорошо.

Нет, оно продолжает мне не нравиться.

Слишком много чего-то тянется при запуске интернета, а теперь связь блокируется безо всяких предупреждений и разорвать соединение невозможно. Наверное, какие-то хвосты все же остались.

logs_3.rar

logs_3.rar

Link to comment
Share on other sites

Сделайте логи полиморфным AVZ (ссылка в моей подписи)

Файл linux.exe?

Все, поняла :)

Какой-то callback оно удаляло - откуда такая гадость, которой не было..?

LOG.rar

LOG.rar

Edited by dytyna
Link to comment
Share on other sites

Еще интересней все стало...

Два дня назад на этот компьютер прислали файл pdf, сгенерированный из Adobe InDesign, его объем 22 мб (соотвертсвует отправленному). Acrobat отказался открыть файл, ссылаясь на его повреждения. После попытки просмотреть "свойства" файла кликом правой мыши все зависало или конкретно тормозило.

После этого взялась за лечение (первые логи в этой теме).

В процессе создания логов AVZ упорно удалял ATF-Cleaner, показывая в ней Worm.Win32.AutoRun.ahuy

После сегодняшних логов полиморфным AVZ по настоянию thyrex система работала вроде как без проблем.

Но файл pdf таки нужно было открыть и просмотреть. После повторной попытки сделать это все повторилось. Если внимательно присмотреться, то видно, что перед появлением окошечка с предупреждением от Acrobat быстро открывается узкое окошко с горизонтальной прокруткой (как бы что-то загружается).

Может ли такое быть, чтобы вирус находился в pdf-файле? Или что-то присутствующее в системе блокирует открытие файла?

Просто понять не могу...

Link to comment
Share on other sites

Чем открываете pdf-файлы? Acrobat Reader'ом? Какой версии?

Нет, не Reader'ом, Adobe Acrobat, версия 5. До сих пор работал исправно; где-то лежали высшей версии, но переставлять вроде было незачем. И сейчас открываются другие файлы. Другой файл той самой книги, да и намного большие (170 мб) нормально открывались и открываются.

Link to comment
Share on other sites

Я его и имел в виду.

Ну тогда в нем должно быть полно уязвимостей, которые могут использоваться в неблаговидных целях.

Не зря ведь советуют перейти уже и на 9-ю версию

Link to comment
Share on other sites

Все-таки, мне кажется, тут дело не в акробате. Ну, да Бог с ним, с тем файлом.

Связь вот постоянно обрывается (я уже об этом писала выше). Приблизительно через 10 минут после присоединения все замирает, и пока система не перегрузится, восстаносить связь не удается.

Логи еще раз.

logs_new.rar

logs_new.rar

Link to comment
Share on other sites

dytyna: Здравствуйте. Файл tcpip.sys сами патчили? http://windowsupdate.microsoft.com)

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.

После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.

Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...