SpiceStas Posted July 28, 2009 Report Share Posted July 28, 2009 Раннее создавал тему, вроде все было ок. При каждой попытке вставить флешку мне выдает вот это: что делать? кста, что в одной, что во второй такая ситуация Link to comment Share on other sites More sharing options...
thyrex Posted July 28, 2009 Report Share Posted July 28, 2009 Сделайте еще раз комплект логов с подключенной флэшкой Link to comment Share on other sites More sharing options...
SpiceStas Posted August 4, 2009 Author Report Share Posted August 4, 2009 (edited) на работе появилась такая фигня: видимо, вирусы не только на флешках ((( вот лог при двху включенных флешках. надеюсь на вашу помощь. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Edited August 4, 2009 by SpiceStas Link to comment Share on other sites More sharing options...
akoK Posted August 4, 2009 Report Share Posted August 4, 2009 C:\Documents and Settings\spice\Рабочий стол\christmas\Christmas.exe - знакомо? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');QuarantineFile('C:\WINDOWS\system32\IVInav.ax','');QuarantineFile('C:\WINDOWS\system32\mydocs.dll','');DeleteFile('C:\WINDOWS\system32\csrcs.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(16);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: Shell=Explorer.exe csrcs.exeO4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:Services:Files:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad9c8e36-b70f-11dd-9071-001b2205f209}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0220dc06-7113-11de-91e6-001b2205f209}]:Commands[purity][emptytemp][start explorer][Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Link to comment Share on other sites More sharing options...
SpiceStas Posted August 4, 2009 Author Report Share Posted August 4, 2009 ого. спасибо. ща займусь. а кристмас уже сто лет удалил. akoK, а перед тем, как выполнять скрипты в avz мне нужно галочками отмечать флешки и диск с? Пофиксить в HijackThis следующие строчки ? Это как? (((((((((((( Link to comment Share on other sites More sharing options...
akoK Posted August 4, 2009 Report Share Posted August 4, 2009 http://www.softboard.ru/index.php?showforum=95 Ознакомитесь с прикрепленными темами. Link to comment Share on other sites More sharing options...
SpiceStas Posted August 4, 2009 Author Report Share Posted August 4, 2009 All processes killed ========== PROCESSES ========== No active process named explorer.exe was found! ========== SERVICES/DRIVERS ========== ========== FILES ========== ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad9c8e36-b70f-11dd-9071-001b2205f209}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ad9c8e36-b70f-11dd-9071-001b2205f209}\ not found. Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0220dc06-7113-11de-91e6-001b2205f209}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0220dc06-7113-11de-91e6-001b2205f209}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: Admin ->Temp folder emptied: 648914 bytes ->Temporary Internet Files folder emptied: 532474 bytes User: All Users User: All Users.WINDOWS User: Default User User: Default User.WINDOWS ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: spice ->Temp folder emptied: -7441282 bytes ->Temporary Internet Files folder emptied: 101517600 bytes ->Java cache emptied: 915382 bytes ->FireFox cache emptied: 148983226 bytes ->Google Chrome cache emptied: 223360607 bytes ->Opera cache emptied: 141116714 bytes %systemdrive% .tmp files removed: 0 bytes C:\WINDOWS\NV2801404.TMP folder deleted successfully. %systemroot% .tmp files removed: 2498914 bytes %systemroot%\System32 .tmp files removed: 5709 bytes Windows Temp folder emptied: 20303686 bytes RecycleBin emptied: 4364497167 bytes Total Files Cleaned = 669,55 mb OTM by OldTimer - Version 3.0.0.5 log created on 08042009_150858 Files moved on Reboot... Registry entries deleted on Reboot... Link to comment Share on other sites More sharing options...
akoK Posted August 4, 2009 Report Share Posted August 4, 2009 В карантин ничего не попало интересного. Повторите логи. Link to comment Share on other sites More sharing options...
SpiceStas Posted August 4, 2009 Author Report Share Posted August 4, 2009 (edited) странно. но та ошибка, которая вылазила при загрузке - исчезла. скажите, а дома мне нод скажет, что у меня на флешках вирусы? )))) или я здесь их уже грохнул с Вашей помощью. спасибо --------- Malwarebytes' Anti-Malware 1.40 Версия базы данных: 2557 Windows 5.1.2600 Service Pack 3 04.08.2009 15:57:43 mbam-log-2009-08-04 (15-57-29).txt Тип проверки: Полная (C:\|D:\|J:\|K:\|) Проверено объектов: 167703 Прошло времени: 36 minute(s), 55 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 0 Заражено значений реестра: 0 Заражено параметров реестра: 3 Заражено папок: 0 Заражено файлов: 5 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: (Вредоносные программы не обнаружены) Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: C:\Program Files\Adobe\Adobe Photoshop CS3\Plug-Ins\Retoucher.8bf (Malware.Packer) -> No action taken. C:\Program Files\AKVIS\Retoucher\Retoucher.8bf (Malware.Packer) -> No action taken. C:\Program Files\Total Commander\Utils\SFX Tool\Upack.exe (Malware.Packer) -> No action taken. C:\Program Files\Macromedia\Fireworks MX 2004\Plug-Ins\Retoucher.8bf (Malware.Packer) -> No action taken. K:\Nero-v6_6_0_12\KeyGen_NBR_6_6_0_x.exe (Trojan.Agent) -> No action taken. Edited August 4, 2009 by SpiceStas Link to comment Share on other sites More sharing options...
akoK Posted August 4, 2009 Report Share Posted August 4, 2009 Ознакомтесь с этой статьей. Антивирусу и Вам будет легче. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now