Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

  • Ответов 75
  • Создана
  • Последний ответ

Топ авторов темы

Топ авторов темы

полиморфным AVZ три раза пытался скачать загрузка на месте стоит. Мне кто-нибуть может обьяснить что это за ерунда?

Ссылка на комментарий
Поделиться на другие сайты

Только что проверил. Все качается.

Переходите по ссылке. Файл называется linux.exe

Правой кнопкой по нему щелкаете и выбираете Сохранить объект как (в зависимости от браузера эта строчка может иметь другой вид)

Ссылка на комментарий
Поделиться на другие сайты

Я пробовал как ты говоришь в Опере и Explorer загрузка не шла. Получилось только через Mozilla Firefox.У меня такие фишки уже 3дня. Не открываются сайты где ссылки на антивирус и антиспам.

Логи:virusinfo_syscheck.zip и virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

C:\WINDOWS\system32\mcqqmgewixhgswwww.dll проверьте на virustotal Ссылку на результат проверки сообщите

Если новые логи RSIT не делаете, то не выкладывайте, пожалуйста, старые (они у Вас от 14.05)

Ссылка на комментарий
Поделиться на другие сайты

C:\WINDOWS\system32\mcqqmgewixhgswwww.dll проверил говорит что файл не найден. Я каждый раз делаю повторные логи как в инструкции, почему не сохраняется в RSIT я не знаю.А папке лог всё сохраняется.Вот и сейчас сделал повторные логи virusinfo_syscheck.zip и virusinfo_syscure.zip, а в RSIT ни чего не сохранилось.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте GMER и сохраните лог.

После этого найдите вкладку со стрелочкой и выберите вкладку Files. Попытайтесь скопировать

C:\WINDOWS\system32\mcqqmgewixhgswwww.dll
и другие "файл не найден" Изменено пользователем Loader
Ссылка на комментарий
Поделиться на другие сайты

Пока оставим в покое gmer.

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\mcqqmgewixhgswwww.dll','');DeleteFile('C:\WINDOWS\system32\mcqqmgewixhgswwww.dll');DelBHO('{4FF29A02-B1D7-7AB6-E0BD-2B73F4A86773}');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

Дополнительно quarantine.zip отправьте на thyrex2002@tut.by В письме укажите ссылку на тему

Ссылка на комментарий
Поделиться на другие сайты

Всё по старому.Если страницы не доканца загружать то по сайтам можно лазить. Скажите если я винду переустановлю я попращаюсь с этой гадостью. А востановление на дисках включить или пускай пока так?

Вот и сейчас сервер не отвечает не могу отправить сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Давайте еще раз логи полиморфного AVZ

И лог gmer, сделанный по такой инструкции.

Запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

Ссылка на комментарий
Поделиться на другие сайты

А востановление на дисках включить или пускай пока так?

Для проведения успешного лечения немаловажную роль играет отключение восстановления системы которая "консервирует" всех зловредов живущих в Вашей системе и как следствие возникает риск повторного заражения.

http://www.softboard.ru/index.php?showtopic=52115

1. Отключите восстановление системы (Приложение 1).

http://www.softboard.ru/index.php?showtopic=51343

Ссылка на комментарий
Поделиться на другие сайты

полиморфный AVZ опять ни чего не сохранил в папке RSIT, только в ЛОГ virusinfo_syscheck.zip и virusinfo_syscure.zip. Может логи в полиморфном AVZ не так как в обычном AVZ делаются?

Gmer при запуке отсканировал и там по умолчанию стояла галачка на диске С.Я убирал, снова ставил а кнопка скан не хотела нажиматься.Сохранил только такой лог _2.log

Вот сейчас пишу сообщение, на весь экран голая баба мигает, ни чего из-за неё не видно.

virusinfo_syscheck.zip

virusinfo_syscure.zip

_2.log

Ссылка на комментарий
Поделиться на другие сайты

C:\Program Files\Google\googletoolbar1.dll проверьте на virustotal Ссылку на результат проверки сообщите

Логи log.txt, info.txt получаются в результате работы программы RSIT, а не после AVZ

Ссылка на комментарий
Поделиться на другие сайты

Спосибо за подсказку info.txt иlog.txt.

-squared 4.0.0.101 2009.05.16 -

AhnLab-V3 5.0.0.2 2009.05.16 -

AntiVir 7.9.0.168 2009.05.15 -

Antiy-AVL 2.0.3.1 2009.05.15 -

Authentium 5.1.2.4 2009.05.16 -

Avast 4.8.1335.0 2009.05.15 -

AVG 8.5.0.336 2009.05.15 Adload_r.GM

BitDefender 7.2 2009.05.16 -

CAT-QuickHeal 10.00 2009.05.15 -

ClamAV 0.94.1 2009.05.16 -

Comodo 1157 2009.05.08 -

DrWeb 5.0.0.12182 2009.05.16 -

eSafe 7.0.17.0 2009.05.14 -

eTrust-Vet 31.6.6508 2009.05.16 -

F-Prot 4.4.4.56 2009.05.16 -

F-Secure 8.0.14470.0 2009.05.15 AdWare.Win32.PolyBrow.cp

Fortinet 3.117.0.0 2009.05.16 -

GData 19 2009.05.16 -

Ikarus T3.1.1.49.0 2009.05.16 -

K7AntiVirus 7.10.737 2009.05.16 -

Kaspersky 7.0.0.125 2009.05.16 not-a-virus:AdWare.Win32.PolyBrow.cp

McAfee 5616 2009.05.15 -

McAfee+Artemis 5616 2009.05.15 -

McAfee-GW-Edition 6.7.6 2009.05.15 -

Microsoft 1.4602 2009.05.16 Adware:Win32/Fakegoog

NOD32 4080 2009.05.15 -

Norman 6.01.05 2009.05.16 -

nProtect 2009.1.8.0 2009.05.16 -

Panda 10.0.0.14 2009.05.16 -

PCTools 4.4.2.0 2009.05.16 -

Prevx 3.0 2009.05.16 -

Rising 21.29.52.00 2009.05.16 -

Sophos 4.41.0 2009.05.16 -

Sunbelt 3.2.1858.2 2009.05.16 -

Symantec 1.4.4.12 2009.05.16 -

TheHacker 6.3.4.1.326 2009.05.15 -

TrendMicro 8.950.0.1092 2009.05.15 Cryp_Naix-6

VBA32 3.12.10.5 2009.05.16 -

ViRobot 2009.5.15.1737 2009.05.15 -

VirusBuster 4.6.5.0 2009.05.16 -

Дополнительная информация

File size: 57344 bytes

MD5...: f90d40c8372ccb6ceeff1833b915c142

SHA1..: 40fef6eacae181e15a2e84674d287057f6d89e99

SHA256: af44eb185197f1a2f927d5c1c2699d8ae8f3118be36cf676f3b51cfea1ceac44

SHA512: 54490cc728d4c6af61d400ba50346bb4cddb0d250bef66336e7adf1cc3142fd7

27e00eba23b113bc3319c482eb182e744500db723033f471d063123251ededdc

ssdeep: 768:Ofu5e4bZYh7gRdhh2d+LScRwR+Gjr+V6T7mgOEszjZ5xpd75Et7:O25ebh7g

RX0GSc0Jjr+y71szjZ5xpQF

PEiD..: -

TrID..: File type identification

DirectShow filter (46.7%)

Windows OCX File (28.6%)

Win64 Executable Generic (19.8%)

Win32 Executable Generic (1.9%)

Win32 Dynamic Link Library (generic) (1.7%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x8af0

timedatestamp.....: 0x49f85a01 (Wed Apr 29 13:45:37 2009)

machinetype.......: 0x14c (I386)

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x7d50 0x8000 5.90 9a30f91b59fff9f6c01195672621c3fd

.rdata 0x9000 0xd4d 0x1000 4.75 2c537801083c7c1421b89ebfa1132a8c

.data 0xa000 0x15d5 0x2000 4.58 55bb7365a7f26a7adeeb2cd5fddf8efd

.rsrc 0xc000 0xe80 0x1000 4.04 8202bdb603391390198a739886dd1cc8

.reloc 0xd000 0x964 0x1000 4.47 391cf7ece77a7cad90fd68dbce7461f5

( 7 imports )

> KERNEL32.dll: GetTempFileNameA, lstrcmpA, ReadFile, SetFilePointer, GetFileSize, SystemTimeToFileTime, GetSystemTime, SetFileTime, Process32Next, TerminateProcess, OpenProcess, lstrcmpiA, Module32First, Process32First, CreateToolhelp32Snapshot, GetLocaleInfoA, GetVersionExA, GetVolumeInformationA, GetDriveTypeA, GetLogicalDriveStringsA, CreateDirectoryA, FindClose, FindNextFileA, WritePrivateProfileStringA, FindFirstFileA, RemoveDirectoryA, CopyFileA, GetModuleFileNameA, GetCurrentProcessId, ReleaseMutex, GetLastError, CreateMutexA, FreeLibrary, GetProcAddress, LoadLibraryA, GetModuleHandleA, WaitForSingleObject, CreateEventA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, DisableThreadLibraryCalls, CreateThread, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, HeapAlloc, GetSystemInfo, HeapCreate, InterlockedIncrement, InterlockedDecrement, DebugBreak, HeapReAlloc, HeapFree, GetWindowsDirectoryA, lstrcatA, GetSystemDirectoryA, ExpandEnvironmentStringsA, GetTempPathA, DeleteFileA, GlobalAlloc, CreateFileA, WriteFile, CloseHandle, GlobalFree, lstrcpynA, lstrcpyA, SetFileAttributesA, lstrlenA

> USER32.dll: GetTopWindow, GetWindowThreadProcessId, GetWindow, IsWindowVisible

> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyA, RegCloseKey

> SHELL32.dll: StrStrA, ShellExecuteA, StrRChrA, StrStrIA

> OLEAUT32.dll: -, -, -, -, -

> ATL.DLL: -, -, -, -, -, -, -, -, -, -

> MSVCRT.dll: _itoa, strchr, strlen, atoi, abs, rand, memcmp, memcpy, time, srand, _ftol, memset

( 8 exports )

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, calloc, free, malloc, realloc

PDFiD.: -

RDS...: NSRL Reference Data Set

Сайт был закрыт черной пеленой и висело окно для отправки смс.

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 beginDelBHO('{63E87A89-B91E-718F-FDE1-E17BF68761D2}');DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');RebootWindows(true);end. 

Компьютер перезагрузится.

Изменилось ли что-нибудь после выполнения скрипта?

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 beginDelBHO('{469C7F34-476F-43A4-A8EC-39FFB42D4EB9}');RebootWindows(true);end. 

Компьютер перезагрузится.

Еще поищите файлы типа *lib.dll (например, jgnlib.dll) где-нибудь в папке Local Settings

Если проблема не исчезла, еще раз сделайте логи полиморфного AVZ с включенным AVZPM (выбрать первую строчку в соответствующем меню программы), а также логи RSIT

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Ссылка на комментарий
Поделиться на другие сайты

Вот что получилось:

Malwarebytes' Anti-Malware 1.36

Версия базы данных: 1945

Windows 5.1.2600 Service Pack 3

17.05.2009 1:55:02

mbam-log-2009-05-17 (01-55-02).txt

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 208698

Прошло времени: 1 hour(s), 7 minute(s), 42 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 7

Заражено значений реестра: 0

Заражено параметров реестра: 1

Заражено папок: 1

Заражено файлов: 5

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\googletoolbar.google.1 (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3d187093-740d-3f65-ee99-737b7cb0c444} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{3d187093-740d-3f65-ee99-737b7cb0c444} (Adware.BHO) -> Quarantined and deleted successfully.

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Заражено папок:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено файлов:

C:\Documents and Settings\user\Local Settings\Temp\Rar$EX00.453\setup.exe (Adware.SnappyAds) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\UY2IDQXD\2-setup3[1].exe (Adware.SnappyAds) -> Quarantined and deleted successfully.

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ (Trojan.Downloader) -> Delete on reboot.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу



×
×
  • Создать...