drel Опубликовано 19 июня, 2009 Жалоба Поделиться Опубликовано 19 июня, 2009 Здравствуйте! По аське пришла ссылка на файл foto20.scr, так как kav 8.0.0.454 с новыми базами ни на какие вирусы не отругался, то этот файл я открыл. Сразу появилась такая заставка с требованием отправить смс , которую никак нельзя было убрать, в том числе перезагрузкой. В безопасном режиме система не запускалась, шла на перезагрузку. Это ХР. Но на компе установлена ещё и 2003 винда. В неё зайти получилось, касперский, который установлен в 2003, никаких вирусов не обнаружил, хотя базы новые. Зато удалось зайти в 2003 в безопасном режиме и запустить cureit. Cureit нашёл вирусы, затем я запускал avz, всё прошло нормально. А вот rsit выдал ошибку и только один лог. Эти логи на всякий случай в архиве LOG_2003.zip. После всего проделанного получилось зайти в ХР в обычном режиме (в безопасном комп всё равно уходит на перезагрузку). Запустил avz и rsit, логи прилагаются. Подскажите, пожалуйста, что теперь делать, остались ли ещё вирусы? LOG_2003.zip virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt LOG_2003.zip virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 19 июня, 2009 Жалоба Поделиться Опубликовано 19 июня, 2009 (изменено) Рекомендации для XP Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');QuarantineFile('C:\WINDOWS\system\dllcache.exe','');QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('C:\WINDOWS\svvghost.exe','');DeleteFile('C:\WINDOWS\svvghost.exe');DeleteFile('C:\WINDOWS\system32\sdra64.exe');DeleteFile('C:\WINDOWS\system\dllcache.exe');DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(10);RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Пофиксить в HiJack R3 - URLSearchHook: (no name) - - (no file)F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, Сделайте новые логи Рекомендации для 2003 Пофиксить в HiJack O4 - HKLM\..\Run: [ilasss] G:\WINDOWS\system\lsass.exeO4 - HKCU\..\Run: [Administrator] G:\Documents and Settings\Administrator\Administrator.exe /i Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('G:\WINDOWS\system\lsass.exe','');QuarantineFile('G:\Documents and Settings\LocalService\LocalService.exe','');QuarantineFile('G:\Documents and Settings\Administrator\Administrator.exe','');QuarantineFile('G:\WINDOWS\system32\drivers\acpi32.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\amd64si.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\ati64si.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\fips32cup.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\i386si.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\ksi32sk.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\netsik.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\nicsk32.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\port135sik.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\securentm.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\systemntmi.sys','');DeleteService('systemntmi');DeleteService('securentm');DeleteService('port135sik');DeleteService('nicsk32');DeleteService('netsik');DeleteService('ksi32sk');DeleteService('i386si');DeleteService('fips32cup');DeleteService('ati64si');DeleteService('amd64si');DeleteService('acpi32');DeleteFile('G:\WINDOWS\system32\drivers\systemntmi.sys');DeleteFile('G:\WINDOWS\system32\drivers\securentm.sys');DeleteFile('G:\WINDOWS\system32\drivers\port135sik.sys');DeleteFile('G:\WINDOWS\system32\drivers\nicsk32.sys');DeleteFile('G:\WINDOWS\system32\drivers\netsik.sys');DeleteFile('G:\WINDOWS\system32\drivers\ksi32sk.sys');DeleteFile('G:\WINDOWS\system32\drivers\i386si.sys');DeleteFile('G:\WINDOWS\system32\drivers\fips32cup.sys');DeleteFile('G:\WINDOWS\system32\drivers\ati64si.sys');DeleteFile('G:\WINDOWS\system32\drivers\amd64si.sys');DeleteFile('G:\WINDOWS\system32\drivers\acpi32.sys');DeleteFile('G:\Documents and Settings\Administrator\Administrator.exe');DeleteFile('G:\Documents and Settings\LocalService\LocalService.exe');DeleteFile('G:\WINDOWS\system\lsass.exe');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(6);RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Изменено 19 июня, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
drel Опубликовано 19 июня, 2009 Автор Жалоба Поделиться Опубликовано 19 июня, 2009 Новые логи от ХР. Info.txt не появился. Кстати, можно ли запускать avz и HiJackThis из одних и тех же папок для ХР и 2003? virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
drel Опубликовано 19 июня, 2009 Автор Жалоба Поделиться Опубликовано 19 июня, 2009 Новые логи от 2003. Rsit опять вылетел с той же ошибкой. На newvirus@kaspersky.com отправил два файла, ответа пока нет. virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
drel Опубликовано 19 июня, 2009 Автор Жалоба Поделиться Опубликовано 19 июня, 2009 Пришёл ответ насчёт второго файла, из 2003. Видимо, какие-то проблемы с кодировкой. Здравствуйте,askBar.dll, vksaver.dll No malicious code were found in these files. Please quote all when answering. The answer is relevant to the latest bases from update sources. > Windows 2003 ----------------- С уважением, Островерхов Владимир Вирусный аналитик ЗАО "Лаборатория Касперского" Тел.: +7 (495) 797-8700 E-mail: newvirus@kaspersky.com www.kaspersky.com 123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1 Тел./факс: + 7 (495) 797 8700 www.kaspersky.ru www.viruslist.ru Кодировку я Штирлицом поправил, а предложение насчёт неё убрать забыл. :blink: Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 19 июня, 2009 Жалоба Поделиться Опубликовано 19 июня, 2009 (изменено) В логах с ХР ничего опасного не обнаружено. Папку C:\Program Files\AskBarDis можете удалить вручную вместе с оставшимся в ней содержимым. На этой системе проблема решена? В логах с 2003 ничего опасного также не обнаружено. Программы для сбора логов можно запускать из одних и тех же папок. Изменено 19 июня, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
drel Опубликовано 19 июня, 2009 Автор Жалоба Поделиться Опубликовано 19 июня, 2009 На ХР вроде бы всё работает нормально, Спасибо большое! :) А это нормально, что под 2003 rsit вылетает с ошибкой? И почему каспер не отругался на вирус при его загрузке? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 19 июня, 2009 Жалоба Поделиться Опубликовано 19 июня, 2009 Отвечу только по поводу того, что антивирус не заругался. Ни один разработчик антивирусных решений не дает 100% гарантии защиты. Ссылка на комментарий Поделиться на другие сайты Поделиться
drel Опубликовано 19 июня, 2009 Автор Жалоба Поделиться Опубликовано 19 июня, 2009 Ещё раз большое спасибо! :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanitar Опубликовано 22 июня, 2009 Жалоба Поделиться Опубликовано 22 июня, 2009 (изменено) Только что словил эту заразу, пришлось СМС отправлять. Таким образом в Контакте для кого то собирают голоса(якобы). Логи подготовлю, дабы профи глянули, не осталось ли еще чего. От меня заразилась знакомая-так же через аську, но поскольку я уже оплатил сие приключение-я ей сказал заветное слово и у нее стало все нормально. Кто попадется на эту пакость, в поле, куда нужно ввести заветное слово-введите слово ,, пользователя ,, без кавычек. :) И еще один компьютер сейчас привет в чувство. Заветное слово помогло. Изменено 22 июня, 2009 пользователем Sanitar Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanitar Опубликовано 23 июня, 2009 Жалоба Поделиться Опубликовано 23 июня, 2009 Логи сканирования. Там что то нашлось-это и есть последствия этого смс вымогательства, или это уже сидело? avz_log.txthijackthis.log___________________..txtRsit.txt Утилита от каспера не запустилась, ей бы еще проверил. hijackthis.log avz_log.txt ___________________..txt Rsit.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 23 июня, 2009 Жалоба Поделиться Опубликовано 23 июня, 2009 Sanitar, выложите нормальные логи AVZ: virusinfo_syscheck.zip, virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanitar Опубликовано 23 июня, 2009 Жалоба Поделиться Опубликовано 23 июня, 2009 Sanitar, выложите нормальные логи AVZ: virusinfo_syscheck.zip, virusinfo_syscure.zip Сори, забылся, давно не выкладывал логи. Сейчас идет сканирование малвар***тсом-пока 6 штук нашлось. Кстати, в списке логов, 3-й это лог куриэльта, просто я инфу скопировал в блокнот. Там как раз рассадник найденного. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanitar Опубликовано 23 июня, 2009 Жалоба Поделиться Опубликовано 23 июня, 2009 (изменено) Логи. avz_sysinfo.htmavz_sysinfo.htm И лог Малваре на всякий случай. mbam_log_2009_06_23__20_05_25_.txt И куриэльт, опять находит но сделать ничего не может. куриельт._не_удаляемый..txt avz_sysinfo.htm avz_sysinfo.htm mbam_log_2009_06_23__20_05_25_.txt куриельт._не_удаляемый..txt Изменено 23 июня, 2009 пользователем Sanitar Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 23 июня, 2009 Жалоба Поделиться Опубликовано 23 июня, 2009 (изменено) Логи MBAM правильно делать так Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM CureIt не может удалить файлы из C:\System Volume Information. Эту папку можно просто удалить вообще. У Вас ведь восстановление системы отключено. Изменено 23 июня, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
ABC Опубликовано 24 июня, 2009 Жалоба Поделиться Опубликовано 24 июня, 2009 ,,пользователя,, без кавычек после ввода этого слова картинка пропала, большое спасибо :) :) , но я хотел бы узнать точно ли это больше не появится? Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanitar Опубликовано 25 июня, 2009 Жалоба Поделиться Опубликовано 25 июня, 2009 CureIt не может удалить файлы из C:\System Volume Information. Эту папку можно просто удалить вообще. У Вас ведь восстановление системы отключено.Все пошинковал. А по логам что??? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 25 июня, 2009 Жалоба Поделиться Опубликовано 25 июня, 2009 Надо сделать правильно лог MBAM (см. начало сообщения №15) Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanitar Опубликовано 25 июня, 2009 Жалоба Поделиться Опубликовано 25 июня, 2009 Надо сделать правильно лог MBAM (см. начало сообщения №15) Именно так лог и сделан. Что не так? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 25 июня, 2009 Жалоба Поделиться Опубликовано 25 июня, 2009 No action takenНе выбрано действие, т.е. не сделано все, что написано после этих слов после сканирования выберите... Ссылка на комментарий Поделиться на другие сайты Поделиться
Sanitar Опубликовано 26 июня, 2009 Жалоба Поделиться Опубликовано 26 июня, 2009 Последнее. Тип проверки: Полная (C:\|D:\|E:\|F:\|) Проверено объектов: 193622 Прошло времени: 30 minute(s), 13 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 0 Заражено значений реестра: 0 Заражено параметров реестра: 0 Заражено папок: 0 Заражено файлов: 2 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: (Вредоносные программы не обнаружены) Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: c:\documents and settings\владислав\desktop\кейген для малваре\yaya.exe (Dont.Steal.Our.Software.A) -> Not selected for removal. d:\program files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Quarantined and deleted successfully. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 26 июня, 2009 Жалоба Поделиться Опубликовано 26 июня, 2009 По логам больше не нахожу ничего плохого. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти