Tranzit Posted November 30, 2009 Report Share Posted November 30, 2009 На одном из компе аваст закричал что C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CAP3RSK.EXE Вирус/Червь. каторый называется Win32:Malware-gen. через пару менут по сетки начали такоеже выдавать авасты на других компах. Сканировал все компы Dr.Web, Kasper, AVZ, ничего ненашли а аваст кричит что вирус этот файл, при его личении авастом, пишет что лечит и все норм но проходит время и снова начинает бить тревогу Помогите в чем проблема, че за вирус и что это за файл? Link to comment Share on other sites More sharing options...
Old men Posted November 30, 2009 Report Share Posted November 30, 2009 Tranzit: Почему бы для начала не прочесть Правила подраздела http://www.softboard.ru/index.php?showtopic=51343 и не сделать положенные логи Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 Спасиб прочел, и такое уже проделывал, ничего непомогло, аваст всеравно пишет что тот файл вирус Link to comment Share on other sites More sharing options...
Old men Posted November 30, 2009 Report Share Posted November 30, 2009 Tranzit: А здесь выкладывал, чтобы люди тебе помочь могли? Если не собираетесь выполнять положенные правила, то незачем у людей время отнимать.... Link to comment Share on other sites More sharing options...
шпилька Posted November 30, 2009 Report Share Posted November 30, 2009 CAP3RSK.EXE : здесь здесь Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 вот выложил что дальше?????rsit.rar rsit.rar Link to comment Share on other sites More sharing options...
шпилька Posted November 30, 2009 Report Share Posted November 30, 2009 Где логи AVZ? Link to comment Share on other sites More sharing options...
edde Posted November 30, 2009 Report Share Posted November 30, 2009 Логи AVZ прикрепите к следующему сообщению. Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 шпилька, спасиб большое ток осталось вовсем этом разобратся))) Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 а где эти логи АВЗ взять? Link to comment Share on other sites More sharing options...
edde Posted November 30, 2009 Report Share Posted November 30, 2009 У меня в подписи, перейдите по ссылке Краткие правила оформления запроса, там всё написано Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 edde, я так и все сделал по этой инструкции, а де лог авз должен находится чет я непойму Link to comment Share on other sites More sharing options...
Matias Posted November 30, 2009 Report Share Posted November 30, 2009 В папке, куда вы распаковали AVZ будет папка Log. В ней должны быть два файла. Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 (edited) virusinfo_syscure.zip спасиб, все сделал правильно? virusinfo_syscure.zip Edited November 30, 2009 by akoK Link to comment Share on other sites More sharing options...
Matias Posted November 30, 2009 Report Share Posted November 30, 2009 Вы прикрепили virusinfo_cure.zip вместо virusinfo_syscheck.zip. Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 virusinfo_syscheck.zip спасиб virusinfo_syscheck.zip Link to comment Share on other sites More sharing options...
edde Posted November 30, 2009 Report Share Posted November 30, 2009 (edited) Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('d:\instal\hiren-s-bootcd-v9.7-and-flesh-boot\qip\qip.exe');TerminateProcessByName('c:\windows\system32\cnab4rpk.exe');QuarantineFile('d:\instal\hiren-s-bootcd-v9.7-and-flesh-boot\qip\qip.exe','');QuarantineFile('c:\windows\system32\cnab4rpk.exe','');QuarantineFile('C:\power.bat','');QuarantineFile('C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll','');QuarantineFile('C:\Documents and Settings\ВОВА\Application Data\msmedia.dll','');QuarantineFile('C:\WINDOWS\system32\ms18_word.exe','');QuarantineFile('C:\WINDOWS\system32\braviax.exe','');QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNXP0LOG.DLL','');QuarantineFile('C:\Documents and Settings\ВОВА\Рабочий стол\E21E39B2E70CA4F0\E21E39B2E70CA4F0','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\68357552.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\68357551.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\6835755.sys','');DeleteFile('C:\WINDOWS\system32\DRIVERS\68357551.sys');DeleteFile('setup_9.0.0.722_30.11.2009_09-25drv');DeleteFile('C:\WINDOWS\system32\braviax.exe');DeleteFile('C:\WINDOWS\system32\ms18_word.exe');DeleteFile('C:\Documents and Settings\ВОВА\Application Data\msmedia.dll');DeleteFile('C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll');DeleteFile('C:\power.bat');DeleteFile('d:\instal\hiren-s-bootcd-v9.7-and-flesh-boot\qip\qip.exe');DeleteFile('C:\Documents and Settings\ВОВА\Рабочий стол\E21E39B2E70CA4F0\E21E39B2E70CA4F0');DelBHO('{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}');DelBHO('{88888888-8888-8888-8888-888888888888}');DelBHO('{332A3FE8-529B-47CB-A885-C1DBFA427E1A}');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ms18_word');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','braviax');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','braviax');DeleteService('setup_9.0.0.722_30.11.2009_09-25drv');DeleteService('68357551');DeleteService('E21E39B2E70CA4F0');BC_ImportAll;ExecuteSysClean;BC_DeleteFile('C:\Documents and Settings\ВОВА\Рабочий стол\E21E39B2E70CA4F0\E21E39B2E70CA4F0');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\6835755.sys');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\68357551.sys');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\68357552.sys');BC_Activate;ExecuteRepair(6);ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Пофиксить в HJT R3 - URLSearchHook: (no name) - - (no file)R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dllO2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dllO4 - HKLM\..\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exeO4 - HKLM\..\Run: [ms18_word] C:\WINDOWS\system32\ms18_word.exeO4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exeO4 - HKCU\..\Run: [ms18_word] C:\Documents and Settings\ВОВА\ms18_word.exeO4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exeO24 - Desktop Component 0: (no name) - file:///E:/То%BBік/b=b Архив карантина отправьте на myedde<at>operamail.com с темой письма карантин. Повторите логи Edited November 30, 2009 by edde Link to comment Share on other sites More sharing options...
edde Posted November 30, 2009 Report Share Posted November 30, 2009 Tranzit E21E39B2E70CA4F0 это ваша папка, на рабочем столе её наблюдаете? Link to comment Share on other sites More sharing options...
thyrex Posted December 13, 2009 Report Share Posted December 13, 2009 + к edde Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now