thyrex Опубликовано 15 мая, 2009 Жалоба Поделиться Опубликовано 15 мая, 2009 Сделайте логи полиморфным AVZ (ссылка на него в моей подписи) Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 15 мая, 2009 Автор Жалоба Поделиться Опубликовано 15 мая, 2009 полиморфным AVZ три раза пытался скачать загрузка на месте стоит. Мне кто-нибуть может обьяснить что это за ерунда? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 15 мая, 2009 Жалоба Поделиться Опубликовано 15 мая, 2009 Только что проверил. Все качается. Переходите по ссылке. Файл называется linux.exe Правой кнопкой по нему щелкаете и выбираете Сохранить объект как (в зависимости от браузера эта строчка может иметь другой вид) Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 15 мая, 2009 Автор Жалоба Поделиться Опубликовано 15 мая, 2009 Я пробовал как ты говоришь в Опере и Explorer загрузка не шла. Получилось только через Mozilla Firefox.У меня такие фишки уже 3дня. Не открываются сайты где ссылки на антивирус и антиспам. Логи:virusinfo_syscheck.zip и virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 15 мая, 2009 Жалоба Поделиться Опубликовано 15 мая, 2009 C:\WINDOWS\system32\mcqqmgewixhgswwww.dll проверьте на virustotal Ссылку на результат проверки сообщите Если новые логи RSIT не делаете, то не выкладывайте, пожалуйста, старые (они у Вас от 14.05) Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 C:\WINDOWS\system32\mcqqmgewixhgswwww.dll проверил говорит что файл не найден. Я каждый раз делаю повторные логи как в инструкции, почему не сохраняется в RSIT я не знаю.А папке лог всё сохраняется.Вот и сейчас сделал повторные логи virusinfo_syscheck.zip и virusinfo_syscure.zip, а в RSIT ни чего не сохранилось. virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 16 мая, 2009 Жалоба Поделиться Опубликовано 16 мая, 2009 (изменено) Скачайте GMER и сохраните лог. После этого найдите вкладку со стрелочкой и выберите вкладку Files. Попытайтесь скопировать C:\WINDOWS\system32\mcqqmgewixhgswwww.dll и другие "файл не найден" Изменено 16 мая, 2009 пользователем Loader Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 Пробовал скопировать ни чего не получилось. Лог правельно сделал?_1.log _1.log Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 16 мая, 2009 Жалоба Поделиться Опубликовано 16 мая, 2009 Пока оставим в покое gmer. Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\mcqqmgewixhgswwww.dll','');DeleteFile('C:\WINDOWS\system32\mcqqmgewixhgswwww.dll');DelBHO('{4FF29A02-B1D7-7AB6-E0BD-2B73F4A86773}');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Дополнительно quarantine.zip отправьте на thyrex2002@tut.by В письме укажите ссылку на тему Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 А в каком AVZ это делать? Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 Пришел ответ: ни чего не обнаружено. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 16 мая, 2009 Жалоба Поделиться Опубликовано 16 мая, 2009 А что с проблемой? Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 Всё по старому.Если страницы не доканца загружать то по сайтам можно лазить. Скажите если я винду переустановлю я попращаюсь с этой гадостью. А востановление на дисках включить или пускай пока так? Вот и сейчас сервер не отвечает не могу отправить сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 16 мая, 2009 Жалоба Поделиться Опубликовано 16 мая, 2009 Давайте еще раз логи полиморфного AVZ И лог gmer, сделанный по такой инструкции. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
long. Опубликовано 16 мая, 2009 Жалоба Поделиться Опубликовано 16 мая, 2009 А востановление на дисках включить или пускай пока так? Для проведения успешного лечения немаловажную роль играет отключение восстановления системы которая "консервирует" всех зловредов живущих в Вашей системе и как следствие возникает риск повторного заражения. http://www.softboard.ru/index.php?showtopic=52115 1. Отключите восстановление системы (Приложение 1). http://www.softboard.ru/index.php?showtopic=51343 Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 полиморфный AVZ опять ни чего не сохранил в папке RSIT, только в ЛОГ virusinfo_syscheck.zip и virusinfo_syscure.zip. Может логи в полиморфном AVZ не так как в обычном AVZ делаются? Gmer при запуке отсканировал и там по умолчанию стояла галачка на диске С.Я убирал, снова ставил а кнопка скан не хотела нажиматься.Сохранил только такой лог _2.log Вот сейчас пишу сообщение, на весь экран голая баба мигает, ни чего из-за неё не видно. virusinfo_syscheck.zip virusinfo_syscure.zip _2.log Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 16 мая, 2009 Жалоба Поделиться Опубликовано 16 мая, 2009 C:\Program Files\Google\googletoolbar1.dll проверьте на virustotal Ссылку на результат проверки сообщите Логи log.txt, info.txt получаются в результате работы программы RSIT, а не после AVZ Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 Спосибо за подсказку info.txt иlog.txt. -squared 4.0.0.101 2009.05.16 - AhnLab-V3 5.0.0.2 2009.05.16 - AntiVir 7.9.0.168 2009.05.15 - Antiy-AVL 2.0.3.1 2009.05.15 - Authentium 5.1.2.4 2009.05.16 - Avast 4.8.1335.0 2009.05.15 - AVG 8.5.0.336 2009.05.15 Adload_r.GM BitDefender 7.2 2009.05.16 - CAT-QuickHeal 10.00 2009.05.15 - ClamAV 0.94.1 2009.05.16 - Comodo 1157 2009.05.08 - DrWeb 5.0.0.12182 2009.05.16 - eSafe 7.0.17.0 2009.05.14 - eTrust-Vet 31.6.6508 2009.05.16 - F-Prot 4.4.4.56 2009.05.16 - F-Secure 8.0.14470.0 2009.05.15 AdWare.Win32.PolyBrow.cp Fortinet 3.117.0.0 2009.05.16 - GData 19 2009.05.16 - Ikarus T3.1.1.49.0 2009.05.16 - K7AntiVirus 7.10.737 2009.05.16 - Kaspersky 7.0.0.125 2009.05.16 not-a-virus:AdWare.Win32.PolyBrow.cp McAfee 5616 2009.05.15 - McAfee+Artemis 5616 2009.05.15 - McAfee-GW-Edition 6.7.6 2009.05.15 - Microsoft 1.4602 2009.05.16 Adware:Win32/Fakegoog NOD32 4080 2009.05.15 - Norman 6.01.05 2009.05.16 - nProtect 2009.1.8.0 2009.05.16 - Panda 10.0.0.14 2009.05.16 - PCTools 4.4.2.0 2009.05.16 - Prevx 3.0 2009.05.16 - Rising 21.29.52.00 2009.05.16 - Sophos 4.41.0 2009.05.16 - Sunbelt 3.2.1858.2 2009.05.16 - Symantec 1.4.4.12 2009.05.16 - TheHacker 6.3.4.1.326 2009.05.15 - TrendMicro 8.950.0.1092 2009.05.15 Cryp_Naix-6 VBA32 3.12.10.5 2009.05.16 - ViRobot 2009.5.15.1737 2009.05.15 - VirusBuster 4.6.5.0 2009.05.16 - Дополнительная информация File size: 57344 bytes MD5...: f90d40c8372ccb6ceeff1833b915c142 SHA1..: 40fef6eacae181e15a2e84674d287057f6d89e99 SHA256: af44eb185197f1a2f927d5c1c2699d8ae8f3118be36cf676f3b51cfea1ceac44 SHA512: 54490cc728d4c6af61d400ba50346bb4cddb0d250bef66336e7adf1cc3142fd7 27e00eba23b113bc3319c482eb182e744500db723033f471d063123251ededdc ssdeep: 768:Ofu5e4bZYh7gRdhh2d+LScRwR+Gjr+V6T7mgOEszjZ5xpd75Et7:O25ebh7g RX0GSc0Jjr+y71szjZ5xpQF PEiD..: - TrID..: File type identification DirectShow filter (46.7%) Windows OCX File (28.6%) Win64 Executable Generic (19.8%) Win32 Executable Generic (1.9%) Win32 Dynamic Link Library (generic) (1.7%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x8af0 timedatestamp.....: 0x49f85a01 (Wed Apr 29 13:45:37 2009) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x7d50 0x8000 5.90 9a30f91b59fff9f6c01195672621c3fd .rdata 0x9000 0xd4d 0x1000 4.75 2c537801083c7c1421b89ebfa1132a8c .data 0xa000 0x15d5 0x2000 4.58 55bb7365a7f26a7adeeb2cd5fddf8efd .rsrc 0xc000 0xe80 0x1000 4.04 8202bdb603391390198a739886dd1cc8 .reloc 0xd000 0x964 0x1000 4.47 391cf7ece77a7cad90fd68dbce7461f5 ( 7 imports ) > KERNEL32.dll: GetTempFileNameA, lstrcmpA, ReadFile, SetFilePointer, GetFileSize, SystemTimeToFileTime, GetSystemTime, SetFileTime, Process32Next, TerminateProcess, OpenProcess, lstrcmpiA, Module32First, Process32First, CreateToolhelp32Snapshot, GetLocaleInfoA, GetVersionExA, GetVolumeInformationA, GetDriveTypeA, GetLogicalDriveStringsA, CreateDirectoryA, FindClose, FindNextFileA, WritePrivateProfileStringA, FindFirstFileA, RemoveDirectoryA, CopyFileA, GetModuleFileNameA, GetCurrentProcessId, ReleaseMutex, GetLastError, CreateMutexA, FreeLibrary, GetProcAddress, LoadLibraryA, GetModuleHandleA, WaitForSingleObject, CreateEventA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, DisableThreadLibraryCalls, CreateThread, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, HeapAlloc, GetSystemInfo, HeapCreate, InterlockedIncrement, InterlockedDecrement, DebugBreak, HeapReAlloc, HeapFree, GetWindowsDirectoryA, lstrcatA, GetSystemDirectoryA, ExpandEnvironmentStringsA, GetTempPathA, DeleteFileA, GlobalAlloc, CreateFileA, WriteFile, CloseHandle, GlobalFree, lstrcpynA, lstrcpyA, SetFileAttributesA, lstrlenA > USER32.dll: GetTopWindow, GetWindowThreadProcessId, GetWindow, IsWindowVisible > ADVAPI32.dll: RegQueryValueExA, RegOpenKeyA, RegCloseKey > SHELL32.dll: StrStrA, ShellExecuteA, StrRChrA, StrStrIA > OLEAUT32.dll: -, -, -, -, - > ATL.DLL: -, -, -, -, -, -, -, -, -, - > MSVCRT.dll: _itoa, strchr, strlen, atoi, abs, rand, memcmp, memcpy, time, srand, _ftol, memset ( 8 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, calloc, free, malloc, realloc PDFiD.: - RDS...: NSRL Reference Data Set Сайт был закрыт черной пеленой и висело окно для отправки смс. info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 16 мая, 2009 Жалоба Поделиться Опубликовано 16 мая, 2009 Выполните скрипт в AVZ beginDelBHO('{63E87A89-B91E-718F-FDE1-E17BF68761D2}');DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');RebootWindows(true);end. Компьютер перезагрузится. Изменилось ли что-нибудь после выполнения скрипта? Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 Поначалу было всё хорошо, но спутя 10 минут всё начало повторяться по старому. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 16 мая, 2009 Жалоба Поделиться Опубликовано 16 мая, 2009 Выполните скрипт в AVZ beginDelBHO('{469C7F34-476F-43A4-A8EC-39FFB42D4EB9}');RebootWindows(true);end. Компьютер перезагрузится. Еще поищите файлы типа *lib.dll (например, jgnlib.dll) где-нибудь в папке Local Settings Если проблема не исчезла, еще раз сделайте логи полиморфного AVZ с включенным AVZPM (выбрать первую строчку в соответствующем меню программы), а также логи RSIT Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 ни чего не поменялось. Логи: virusinfo_syscheck.zip и virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 16 мая, 2009 Жалоба Поделиться Опубликовано 16 мая, 2009 Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM Ссылка на комментарий Поделиться на другие сайты Поделиться
andrei_777.87 Опубликовано 16 мая, 2009 Автор Жалоба Поделиться Опубликовано 16 мая, 2009 Вот что получилось: Malwarebytes' Anti-Malware 1.36 Версия базы данных: 1945 Windows 5.1.2600 Service Pack 3 17.05.2009 1:55:02 mbam-log-2009-05-17 (01-55-02).txt Тип проверки: Полная (C:\|D:\|) Проверено объектов: 208698 Прошло времени: 1 hour(s), 7 minute(s), 42 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 7 Заражено значений реестра: 0 Заражено параметров реестра: 1 Заражено папок: 1 Заражено файлов: 5 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\googletoolbar.google.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3d187093-740d-3f65-ee99-737b7cb0c444} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{3d187093-740d-3f65-ee99-737b7cb0c444} (Adware.BHO) -> Quarantined and deleted successfully. Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Заражено папок: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully. Заражено файлов: C:\Documents and Settings\user\Local Settings\Temp\Rar$EX00.453\setup.exe (Adware.SnappyAds) -> Quarantined and deleted successfully. C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\UY2IDQXD\2-setup3[1].exe (Adware.SnappyAds) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ (Trojan.Downloader) -> Delete on reboot. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 17 мая, 2009 Жалоба Поделиться Опубликовано 17 мая, 2009 Что с проблемой? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения