Tiare Posted December 14, 2009 Report Share Posted December 14, 2009 Windows XP (SP3), антивирус Аваст. Не могу избавиться от руткитов. Прошу помощи. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Quote Link to comment Share on other sites More sharing options...
akoK Posted December 14, 2009 Report Share Posted December 14, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки R3 - URLSearchHook: (no name) - - (no file)O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\S-1-5-20\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\S-1-5-18\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\.DEFAULT\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user') Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог. Quote Link to comment Share on other sites More sharing options...
Tiare Posted December 15, 2009 Author Report Share Posted December 15, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки R3 - URLSearchHook: (no name) - - (no file)O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\S-1-5-20\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\S-1-5-18\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User '?')O4 - HKUS\.DEFAULT\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user') Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог. Здравствуйте, сделала все как вы написали. Отчеты отправила на почту. Quote Link to comment Share on other sites More sharing options...
Matias Posted December 15, 2009 Report Share Posted December 15, 2009 (edited) На почту надо отправлять только карантин. Любые логи (включая лог GMER) следует прикреплять к сообщению. Edited December 15, 2009 by Matias Quote Link to comment Share on other sites More sharing options...
akoK Posted December 15, 2009 Report Share Posted December 15, 2009 (edited) Вот лог. gmer____.log gmer____.log Edited December 15, 2009 by akoK Quote Link to comment Share on other sites More sharing options...
Tiare Posted December 15, 2009 Author Report Share Posted December 15, 2009 На почту надо отправлять только карантин. Любые логи (включая лог GMER) следует прикреплять к сообщению. Буду знать :blush2: Вот лог. Спасибо :) Quote Link to comment Share on other sites More sharing options...
Tiare Posted December 17, 2009 Author Report Share Posted December 17, 2009 Не совсем поняла, с моей стороны нужны еще какие-то действия или вся гадость удалена? Спасибо за ответ Quote Link to comment Share on other sites More sharing options...
thyrex Posted December 19, 2009 Report Share Posted December 19, 2009 Лог gmer чист. Сделайте еще раз логи AVZ и RSIT (только не под огрниченным в правах пользователем) Quote Link to comment Share on other sites More sharing options...
Tiare Posted December 20, 2009 Author Report Share Posted December 20, 2009 Лог gmer чист. Сделайте еще раз логи AVZ и RSIT (только не под огрниченным в правах пользователем) Логи выполнила, посмотрите, пожалуйста virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt Quote Link to comment Share on other sites More sharing options...
thyrex Posted December 20, 2009 Report Share Posted December 20, 2009 Логи снова сделаны под ограниченыым в правах пользователем Quote Link to comment Share on other sites More sharing options...
Tiare Posted December 21, 2009 Author Report Share Posted December 21, 2009 Логи снова сделаны под ограниченыым в правах пользователем Проверьте, пожалуйста, еще раз log.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
миднайт Posted December 21, 2009 Report Share Posted December 21, 2009 Закройте/выгрузите все программы кроме AVZ и Internet Explorer. - Отключите ПК от интернета/локалки - Отключите Антивирус и Файрвол. В HiJackThis пофиксите: R3 - URLSearchHook: (no name) - - (no file)O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing) В AVZ выполните скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');QuarantineFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp 0yAAAAAAAA','');DeleteFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp 0yAAAAAAAA');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После перезагрузки begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на mind_storm<at>mail.ru (at=@) с указанием ссылки на тему. Quote Link to comment Share on other sites More sharing options...
Tiare Posted December 24, 2009 Author Report Share Posted December 24, 2009 В HiJackThis пофиксите: R3 - URLSearchHook: (no name) - - (no file)O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing) Здравствуйте, указанных выше данных не оказалось. Остальное выполнила. Спасибо за помощь :doh: Quote Link to comment Share on other sites More sharing options...
миднайт Posted December 27, 2009 Report Share Posted December 27, 2009 В карантине пусто. логи повторите. Quote Link to comment Share on other sites More sharing options...
Tiare Posted December 27, 2009 Author Report Share Posted December 27, 2009 В карантине пусто. логи повторите. Сделала, проверьте, пожалуйста virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
миднайт Posted December 27, 2009 Report Share Posted December 27, 2009 Проверьтесь этим http://support.kaspersky.ru/viruses/solutions?qid=208636943 О результатах проверки сообщите. Quote Link to comment Share on other sites More sharing options...
миднайт Posted December 27, 2009 Report Share Posted December 27, 2009 + прошу пардон +) повторите такой скрипт: beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp','');DeleteFile('C:\PROGRA~1\Adobe\Reader 8.0\Reader\..\tpgv.tmp');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После перезагрузки begin CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip'); end. Полученный архив отправьте на mind_storm<at>mail.ru (at=@) с указанием ссылки на тему Quote Link to comment Share on other sites More sharing options...
Tiare Posted December 28, 2009 Author Report Share Posted December 28, 2009 Kateskiller ничего не нашел. Логи AVZ повторила, карантин отправила на почту. Спасибо за помошь :) Quote Link to comment Share on other sites More sharing options...
миднайт Posted December 28, 2009 Report Share Posted December 28, 2009 Карантин пустой. А где же логи? :) Quote Link to comment Share on other sites More sharing options...
Tiare Posted December 28, 2009 Author Report Share Posted December 28, 2009 Закрутилась... Вот логи virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
thyrex Posted December 28, 2009 Report Share Posted December 28, 2009 Выполните исследование утилитой KatesKiller и последний скрипт под учетной записью с правами администратора (Вы их пытаетесь делать под оганиченной в правах записью) Quote Link to comment Share on other sites More sharing options...
thyrex Posted December 29, 2009 Report Share Posted December 29, 2009 Попробуйте деинсталлировать Comodo и выполнить рекомендации Quote Link to comment Share on other sites More sharing options...
Tiare Posted January 10, 2010 Author Report Share Posted January 10, 2010 Выполните исследование утилитой KatesKiller и последний скрипт под учетной записью с правами администратора (Вы их пытаетесь делать под оганиченной в правах записью) Попробуйте деинсталлировать Comodo и выполнить рекомендации Снесла Аваст и Комодо, выполнила логи AVZ в безопасном режиме. KatesKiller ничего не обнаружил. Проверила также Kaspersky® Virus Removal Tool (в обычном и безопасном режиме), фото отчета прикрепляю http://s003.radikal.ru/i204/1001/7b/a72bbf99523e.jpg http://s001.radikal.ru/i196/1001/46/2874a8e8f4f0.jpg Сейчас установлен KIS10 Прошу проверить :g: virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
akoK Posted January 11, 2010 Report Share Posted January 11, 2010 Вижу перечень уязвимых приложений в логе AVPTool. Больше ничего не вижу. Очистите старые точки восстановления. Quote Link to comment Share on other sites More sharing options...
Tiare Posted January 11, 2010 Author Report Share Posted January 11, 2010 Вижу перечень уязвимых приложений в логе AVPTool. Больше ничего не вижу. Очистите старые точки восстановления. Про уязвимости все понятно :blush2: Значит никакой гадости не осталось? (подозревала, что где-то руткит прячется) Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.