Jump to content
СофтФорум - всё о компьютерах и не только

проблемы с работой системы

e1382
 Share

Recommended Posts

миднайт

миднайт

Posted
Posted

Сделайте лог утилитой HiJackThis. Если не будет запускаться, попробуйте переименовать файл в Hi.pif , например.

Файл d:\023f77de37696243de8570\wgasetup.exe проверьте на virustotal.com о результате отпишитесь.

Посмотрите по диспетчеру задач какой именно процесс загружает вашу систему.

Link to comment
Share on other sites
миднайт

миднайт

Posted
Posted

Полученный от сканирования файл лога hijackthis.log не нужно проверять на вирусы, но его нужно прикрепить к своему сообщению на форуме. А проверку на virustotal.com сделать файлика d:\023f77de37696243de8570\wgasetup.exe и результат проверки в виде ссылки оставить тут.

Link to comment
Share on other sites
e1382

e1382

Posted
  • Author
Posted

Файл d:\023f77de37696243de8570\wgasetup.exe

не могу его найти епрст , видимо совсем у меня плохо с познаниями в области комп. технологий)))

Link to comment
Share on other sites
миднайт

миднайт

Posted
Posted

В AVZ выполните скрипт:

beginSearchRootKit(true,true);SetAVZGuardStatus(true);QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll','');QuarantineFile('d:\023f77de37696243de8570\wgasetup.exe','');DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После перезагрузки

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

В HiJackThis пофиксите:

R3 - URLSearchHook: (no name) - - (no file)O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

Сделайте новые логи.

Link to comment
Share on other sites
e1382

e1382

Posted
  • Author
Posted

От Вас получено письмо, не содержащее файлов.

Возможно, антивирус на почтовом сервере удалил Ваш файл как инфицированный.

Если Вы нам посылали файл, пожалуйста заархивируйте файл с паролем infected и пришлите снова

вот такой пришел ответ

Link to comment
Share on other sites
миднайт

миднайт

Posted
Posted

Повторите логи AVZ пожалуйста. На время выполнения скриптов и получения логов необходимо выключать проактивную защиту антивируса и фаервол. Об этом должно быть сказано в правилах.

Link to comment
Share on other sites
миднайт

миднайт

Posted
Posted

Пофиксите в Hijackthis:

O4 - HKUS\S-1-5-18\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

В AVZ выполните скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(True);SetAVZPMStatus(true);QuarantineFile('d:\023f77de37696243de8570\wgasetup.exe','');DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll','');DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');BC_DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');DeleteFileMask('%Tmp%', '*.*', true);BC_ImportAll;ExecuteSysClean;BC_QrFile('d:\023f77de37696243de8570\wgasetup.exe');BC_LogFile(GetAVZDirectory + 'boot_clr.log');BC_Activate;RebootWindows(true);end.

После перезагрузки 

begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

Файл quarantine.zip и boot_clr.log из папки с AVZ пришлите на mind_storm()mail.ru

Повторите лог AVZ и Hijackthis

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...