Tranzit Posted November 30, 2009 Report Share Posted November 30, 2009 На одном из компе аваст закричал что C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CAP3RSK.EXE Вирус/Червь. каторый называется Win32:Malware-gen. через пару менут по сетки начали такоеже выдавать авасты на других компах. Сканировал все компы Dr.Web, Kasper, AVZ, ничего ненашли а аваст кричит что вирус этот файл, при его личении авастом, пишет что лечит и все норм но проходит время и снова начинает бить тревогу Помогите в чем проблема, че за вирус и что это за файл? Quote Link to comment Share on other sites More sharing options...
Old men Posted November 30, 2009 Report Share Posted November 30, 2009 Tranzit: Почему бы для начала не прочесть Правила подраздела http://www.softboard.ru/index.php?showtopic=51343 и не сделать положенные логи Quote Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 Спасиб прочел, и такое уже проделывал, ничего непомогло, аваст всеравно пишет что тот файл вирус Quote Link to comment Share on other sites More sharing options...
Old men Posted November 30, 2009 Report Share Posted November 30, 2009 Tranzit: А здесь выкладывал, чтобы люди тебе помочь могли? Если не собираетесь выполнять положенные правила, то незачем у людей время отнимать.... Quote Link to comment Share on other sites More sharing options...
шпилька Posted November 30, 2009 Report Share Posted November 30, 2009 CAP3RSK.EXE : здесь здесь Quote Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 вот выложил что дальше?????rsit.rar rsit.rar Quote Link to comment Share on other sites More sharing options...
шпилька Posted November 30, 2009 Report Share Posted November 30, 2009 Где логи AVZ? Quote Link to comment Share on other sites More sharing options...
edde Posted November 30, 2009 Report Share Posted November 30, 2009 Логи AVZ прикрепите к следующему сообщению. Quote Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 шпилька, спасиб большое ток осталось вовсем этом разобратся))) Quote Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 а где эти логи АВЗ взять? Quote Link to comment Share on other sites More sharing options...
edde Posted November 30, 2009 Report Share Posted November 30, 2009 У меня в подписи, перейдите по ссылке Краткие правила оформления запроса, там всё написано Quote Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 edde, я так и все сделал по этой инструкции, а де лог авз должен находится чет я непойму Quote Link to comment Share on other sites More sharing options...
Matias Posted November 30, 2009 Report Share Posted November 30, 2009 В папке, куда вы распаковали AVZ будет папка Log. В ней должны быть два файла. Quote Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 (edited) virusinfo_syscure.zip спасиб, все сделал правильно? virusinfo_syscure.zip Edited November 30, 2009 by akoK Quote Link to comment Share on other sites More sharing options...
Matias Posted November 30, 2009 Report Share Posted November 30, 2009 Вы прикрепили virusinfo_cure.zip вместо virusinfo_syscheck.zip. Quote Link to comment Share on other sites More sharing options...
Tranzit Posted November 30, 2009 Author Report Share Posted November 30, 2009 virusinfo_syscheck.zip спасиб virusinfo_syscheck.zip Quote Link to comment Share on other sites More sharing options...
edde Posted November 30, 2009 Report Share Posted November 30, 2009 (edited) Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('d:\instal\hiren-s-bootcd-v9.7-and-flesh-boot\qip\qip.exe');TerminateProcessByName('c:\windows\system32\cnab4rpk.exe');QuarantineFile('d:\instal\hiren-s-bootcd-v9.7-and-flesh-boot\qip\qip.exe','');QuarantineFile('c:\windows\system32\cnab4rpk.exe','');QuarantineFile('C:\power.bat','');QuarantineFile('C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll','');QuarantineFile('C:\Documents and Settings\ВОВА\Application Data\msmedia.dll','');QuarantineFile('C:\WINDOWS\system32\ms18_word.exe','');QuarantineFile('C:\WINDOWS\system32\braviax.exe','');QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CNXP0LOG.DLL','');QuarantineFile('C:\Documents and Settings\ВОВА\Рабочий стол\E21E39B2E70CA4F0\E21E39B2E70CA4F0','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\68357552.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\68357551.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\6835755.sys','');DeleteFile('C:\WINDOWS\system32\DRIVERS\68357551.sys');DeleteFile('setup_9.0.0.722_30.11.2009_09-25drv');DeleteFile('C:\WINDOWS\system32\braviax.exe');DeleteFile('C:\WINDOWS\system32\ms18_word.exe');DeleteFile('C:\Documents and Settings\ВОВА\Application Data\msmedia.dll');DeleteFile('C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll');DeleteFile('C:\power.bat');DeleteFile('d:\instal\hiren-s-bootcd-v9.7-and-flesh-boot\qip\qip.exe');DeleteFile('C:\Documents and Settings\ВОВА\Рабочий стол\E21E39B2E70CA4F0\E21E39B2E70CA4F0');DelBHO('{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}');DelBHO('{88888888-8888-8888-8888-888888888888}');DelBHO('{332A3FE8-529B-47CB-A885-C1DBFA427E1A}');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ms18_word');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','braviax');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','braviax');DeleteService('setup_9.0.0.722_30.11.2009_09-25drv');DeleteService('68357551');DeleteService('E21E39B2E70CA4F0');BC_ImportAll;ExecuteSysClean;BC_DeleteFile('C:\Documents and Settings\ВОВА\Рабочий стол\E21E39B2E70CA4F0\E21E39B2E70CA4F0');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\6835755.sys');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\68357551.sys');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\68357552.sys');BC_Activate;ExecuteRepair(6);ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Пофиксить в HJT R3 - URLSearchHook: (no name) - - (no file)R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dllO2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dllO4 - HKLM\..\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exeO4 - HKLM\..\Run: [ms18_word] C:\WINDOWS\system32\ms18_word.exeO4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exeO4 - HKCU\..\Run: [ms18_word] C:\Documents and Settings\ВОВА\ms18_word.exeO4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exeO24 - Desktop Component 0: (no name) - file:///E:/То%BBік/b=b Архив карантина отправьте на myedde<at>operamail.com с темой письма карантин. Повторите логи Edited November 30, 2009 by edde Quote Link to comment Share on other sites More sharing options...
edde Posted November 30, 2009 Report Share Posted November 30, 2009 Tranzit E21E39B2E70CA4F0 это ваша папка, на рабочем столе её наблюдаете? Quote Link to comment Share on other sites More sharing options...
thyrex Posted December 13, 2009 Report Share Posted December 13, 2009 + к edde Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.