dytyna Опубликовано 11 мая, 2009 Жалоба Поделиться Опубликовано 11 мая, 2009 (изменено) В процессе сканирования АВЗ почему-то убил ATF-Cleaner logs.rar logs.rar Изменено 11 мая, 2009 пользователем dytyna Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex56 Опубликовано 11 мая, 2009 Жалоба Поделиться Опубликовано 11 мая, 2009 1. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить" beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('e:\windows\system32\servises.exe');QuarantineFile('e:\windows\system32\servises.exe','');DeleteFile('e:\windows\system32\servises.exe');BC_ImportALL;ExecuteSysClean;ExecuteRepair(6);BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Выполните еще этот скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip отправьте на newvirus@kaspersky.com 2. Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:Services:FilesE:\1.exeH:\1.exeI:\1.exeH:\v0s.cmdH:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exeH:\LaunchU3.exeI:\jfjtdx.exeE:\WINDOWS\system32\update45683559.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c2b3330-0ae6-11de-9e40-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b543f2d1-e60b-11dc-85c2-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa507ea0-309c-11de-9ea7-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffb673d0-0bdc-11de-9e44-00195b38c377}]:Commands[purity][emptytemp][start explorer][Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Сделайте новые логи Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 11 мая, 2009 Автор Жалоба Поделиться Опубликовано 11 мая, 2009 ========== PROCESSES ========== Process explorer.exe killed successfully. ========== SERVICES/DRIVERS ========== ========== FILES ========== File/Folder E:\1.exe not found. File/Folder H:\1.exe not found. File/Folder I:\1.exe not found. File/Folder H:\v0s.cmd not found. File/Folder H:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe not found. File/Folder H:\LaunchU3.exe not found. File/Folder I:\jfjtdx.exe not found. E:\WINDOWS\system32\update45683559.exe moved successfully. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}\\ deleted successfully. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c2b3330-0ae6-11de-9e40-00195b38c377}\\ deleted successfully. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b543f2d1-e60b-11dc-85c2-00195b38c377}\\ deleted successfully. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa507ea0-309c-11de-9ea7-00195b38c377}\\ deleted successfully. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffb673d0-0bdc-11de-9e44-00195b38c377}\\ deleted successfully. ========== COMMANDS ========== User's Temp folder emptied. User's Temporary Internet Files folder emptied. User's Internet Explorer cache folder emptied. Local Service Temp folder emptied. File delete failed. E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. Local Service Temporary Internet Files folder emptied. Windows Temp folder emptied. Temp folders emptied. Explorer started successfully OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 05112009_151644 Files moved on Reboot... E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex56 Опубликовано 11 мая, 2009 Жалоба Поделиться Опубликовано 11 мая, 2009 Где новые логи. Сделайте еще следующее: Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 11 мая, 2009 Автор Жалоба Поделиться Опубликовано 11 мая, 2009 Так не все же сразу! Вот, уже готовы. Почему программа пишет, что разрешен автозапуск с разных носителей, если он давным-давно отключен? Сейчас займусь следующим. Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe. Не могу взять. Открывается страничка только из кеша. Не загружается. Можно какое-нибудь зеркало? Или на почту. logs_2.rar logs_2.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex56 Опубликовано 11 мая, 2009 Жалоба Поделиться Опубликовано 11 мая, 2009 Отключение автозапуска beginRegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); end. Что с проблемами, ничего плохого в логах не увидел, может Gmer покажет. Ссылка рабочая может что-то на сайте. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 11 мая, 2009 Автор Жалоба Поделиться Опубликовано 11 мая, 2009 Что с проблемами, ничего плохого в логах не увидел, может Gmer покажет. Ссылка рабочая может что-то на сайте. Откуда взялся автозапуск, если его не было? Не пользуюсь автозапуском год уже, со времени регистрации на сайте. И в других местах отключаю. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex56 Опубликовано 11 мая, 2009 Жалоба Поделиться Опубликовано 11 мая, 2009 Откуда взялся автозапуск, если его не было? Не пользуюсь автозапуском год уже, со времени регистрации на сайте. И в других местах отключаю. Это зловреды постарались. Что с проблемами и с логом Gmer? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 11 мая, 2009 Автор Жалоба Поделиться Опубликовано 11 мая, 2009 Это зловреды постарались. Что с проблемами и с логом Gmer? Лог Гмер есть наконец. Очень долго тестировал. Автозапуск сохранился. Отключу сама. logy.log logy.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex56 Опубликовано 12 мая, 2009 Жалоба Поделиться Опубликовано 12 мая, 2009 Чисто. Что с проблемами? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 12 мая, 2009 Жалоба Поделиться Опубликовано 12 мая, 2009 Откуда взялся автозапуск, если его не было? Не пользуюсь автозапуском год уже, со времени регистрации на сайте. И в других местах отключаю. Просто АВЗ смотрит другой параметр реестра, согласно которуму она считает включённым автозапуск, хотя он и отключен. В этом нет ничего страшного. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 12 мая, 2009 Автор Жалоба Поделиться Опубликовано 12 мая, 2009 Просто АВЗ смотрит другой параметр реестра, согласно которуму она считает включённым автозапуск, хотя он и отключен. В этом нет ничего страшного. Да нет, он и вправду откуда-то взялся. Специально вставила флешку, и система нашла, какое там на ней содержимое. До тестирования все было отключено. Alex56: сбоев вроде нет. Сейчас новой темой ставлю другой комп. Там АВЗ нашет что-то интересное. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 12 мая, 2009 Автор Жалоба Поделиться Опубликовано 12 мая, 2009 (изменено) Кстати, вот ответ из Касперского на карантин servises.exe - Email-Worm.Win32.Joleee.bawNew malicious software was found in this file. It's detection will be included in the next update. Thank you for your help. Изменено 12 мая, 2009 пользователем dytyna Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Alex56 Опубликовано 12 мая, 2009 Жалоба Поделиться Опубликовано 12 мая, 2009 Ну раз проблем нет, то хорошо. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 14 мая, 2009 Автор Жалоба Поделиться Опубликовано 14 мая, 2009 Ну раз проблем нет, то хорошо. Нет, оно продолжает мне не нравиться. Слишком много чего-то тянется при запуске интернета, а теперь связь блокируется безо всяких предупреждений и разорвать соединение невозможно. Наверное, какие-то хвосты все же остались. logs_3.rar logs_3.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 14 мая, 2009 Жалоба Поделиться Опубликовано 14 мая, 2009 Скорее всего пытается обновляться софт для Nokia (E:\Program Files\Nokia\Nokia PC Suite 6) Попробуйте отключить его запуск через msconfig Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 14 мая, 2009 Автор Жалоба Поделиться Опубликовано 14 мая, 2009 Отключила, не помогло Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 14 мая, 2009 Жалоба Поделиться Опубликовано 14 мая, 2009 Сделайте логи полиморфным AVZ (ссылка в моей подписи) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 14 мая, 2009 Автор Жалоба Поделиться Опубликовано 14 мая, 2009 (изменено) Сделайте логи полиморфным AVZ (ссылка в моей подписи) Файл linux.exe? Все, поняла :) Какой-то callback оно удаляло - откуда такая гадость, которой не было..? LOG.rar LOG.rar Изменено 14 мая, 2009 пользователем dytyna Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 14 мая, 2009 Автор Жалоба Поделиться Опубликовано 14 мая, 2009 Еще интересней все стало... Два дня назад на этот компьютер прислали файл pdf, сгенерированный из Adobe InDesign, его объем 22 мб (соотвертсвует отправленному). Acrobat отказался открыть файл, ссылаясь на его повреждения. После попытки просмотреть "свойства" файла кликом правой мыши все зависало или конкретно тормозило. После этого взялась за лечение (первые логи в этой теме). В процессе создания логов AVZ упорно удалял ATF-Cleaner, показывая в ней Worm.Win32.AutoRun.ahuy После сегодняшних логов полиморфным AVZ по настоянию thyrex система работала вроде как без проблем. Но файл pdf таки нужно было открыть и просмотреть. После повторной попытки сделать это все повторилось. Если внимательно присмотреться, то видно, что перед появлением окошечка с предупреждением от Acrobat быстро открывается узкое окошко с горизонтальной прокруткой (как бы что-то загружается). Может ли такое быть, чтобы вирус находился в pdf-файле? Или что-то присутствующее в системе блокирует открытие файла? Просто понять не могу... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 14 мая, 2009 Жалоба Поделиться Опубликовано 14 мая, 2009 Чем открываете pdf-файлы? Acrobat Reader'ом? Какой версии? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 14 мая, 2009 Автор Жалоба Поделиться Опубликовано 14 мая, 2009 Чем открываете pdf-файлы? Acrobat Reader'ом? Какой версии? Нет, не Reader'ом, Adobe Acrobat, версия 5. До сих пор работал исправно; где-то лежали высшей версии, но переставлять вроде было незачем. И сейчас открываются другие файлы. Другой файл той самой книги, да и намного большие (170 мб) нормально открывались и открываются. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 14 мая, 2009 Жалоба Поделиться Опубликовано 14 мая, 2009 Я его и имел в виду. Ну тогда в нем должно быть полно уязвимостей, которые могут использоваться в неблаговидных целях. Не зря ведь советуют перейти уже и на 9-ю версию Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dytyna Опубликовано 15 мая, 2009 Автор Жалоба Поделиться Опубликовано 15 мая, 2009 Все-таки, мне кажется, тут дело не в акробате. Ну, да Бог с ним, с тем файлом. Связь вот постоянно обрывается (я уже об этом писала выше). Приблизительно через 10 минут после присоединения все замирает, и пока система не перегрузится, восстаносить связь не удается. Логи еще раз. logs_new.rar logs_new.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 15 мая, 2009 Жалоба Поделиться Опубликовано 15 мая, 2009 dytyna: Здравствуйте. Файл tcpip.sys сами патчили? http://windowsupdate.microsoft.com) Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска. После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes. Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском) Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.