io58op Posted January 18, 2010 Report Share Posted January 18, 2010 помогите излечиться от этого вируса ,после удаления антивирусом ,он вновь создаёт какие то библтотеки. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscheck.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscheck.zip Quote Link to comment Share on other sites More sharing options...
Analyzer Posted January 18, 2010 Report Share Posted January 18, 2010 (edited) Отключить антивирус/фаервол, интернет; AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\sw24.exe','');QuarantineFile('C:\WINDOWS\system32\sw20.exe','');QuarantineFile('C:\DOCUME~1\serg\LOCALS~1\Temp\mc23.tmp','');QuarantineFile('c:\windows\system32\winsys2.exe','');DeleteFile('C:\DOCUME~1\serg\LOCALS~1\Temp\mc23.tmp');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(1);ExecuteRepair(19);RebootWindows(true);end. после выполнения скрипта компьютер перезагрузится. после перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Edited January 18, 2010 by akoK Quote Link to comment Share on other sites More sharing options...
io58op Posted January 18, 2010 Author Report Share Posted January 18, 2010 вот новые логи ,карантин отправил -жду ответа .а что фиксить надо было ,а то там ничего не написано что фиксить.да, I это флешка логи сделаны при подключенной флешке. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
akoK Posted January 18, 2010 Report Share Posted January 18, 2010 Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Quote Link to comment Share on other sites More sharing options...
io58op Posted January 18, 2010 Author Report Share Posted January 18, 2010 вот логи от программ. ComboFix.txt Report.txt ComboFix.txt Report.txt Quote Link to comment Share on other sites More sharing options...
io58op Posted January 19, 2010 Author Report Share Posted January 19, 2010 скажите что с логами ?что предпринять дальше? Quote Link to comment Share on other sites More sharing options...
akoK Posted January 19, 2010 Report Share Posted January 19, 2010 Проверьте на VT c:\windows\system32\sw20.exe c:\windows\system32\sw24.exe Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll::Driver::uxmsrFolder::Registry::[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"9278:TCP"= -FileLook::DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Что с проблемами? Quote Link to comment Share on other sites More sharing options...
io58op Posted January 19, 2010 Author Report Share Posted January 19, 2010 а что значит проверить на vt ?это антивирусником просканировать?и ещё этот вирус попал на флэшки,как на них его лечить? Quote Link to comment Share on other sites More sharing options...
io58op Posted January 19, 2010 Author Report Share Posted January 19, 2010 вот новый лог. процессы я просканировал др.вебом- ничего не нашёл . ComboFix.txt ComboFix.txt Quote Link to comment Share on other sites More sharing options...
шпилька Posted January 19, 2010 Report Share Posted January 19, 2010 а что значит проверить на vt ? Значит, проверить подозрительные файлы здесь. и ещё этот вирус попал на флэшки,как на них его лечить? Логи нужно было делать с подключенными флешками. :blush2: Quote Link to comment Share on other sites More sharing options...
io58op Posted January 19, 2010 Author Report Share Posted January 19, 2010 Файл уже проанализирован:MD5: 3003c313115277aad33469155d740876 First received: 2008.05.21 01:11:36 UTC Дата: 2010.01.06 02:05:43 UTC [>13D] Результаты: 0/41 Permalink: analisis/0826c0ab6bf706e727d4d5885dd3e4e8a11dcf7f303cb7f5d0a124b0829ff38f-1262743543 Файл уже проанализирован:MD5: a853e72ad493ab562c2ba84fe9a5cd9c First received: 2007.03.18 10:09:00 UTC Дата: 2010.01.09 04:56:50 UTC [>10D] Результаты: 0/40 Permalink: analisis/25bac4e7c99ec5f23eee31555672406dd8d0ddf8a176900a63eb9dfb981be986-1263013010 вот проверка на VT при сканировании др.вебом всё равно находит файл библиотек вируса :blush2: а лог с флешками делать при помощи AVZ? Quote Link to comment Share on other sites More sharing options...
Analyzer Posted January 19, 2010 Report Share Posted January 19, 2010 повторите лог ComboFix Quote Link to comment Share on other sites More sharing options...
edde Posted January 19, 2010 Report Share Posted January 19, 2010 (edited) выполните скрипт авз beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\documents and settings\serg\Рабочий стол\µtorrent 1.8.5 (build 17091) leecher pack\utorrent 1.8.5 (17091)_noreport_seeder.exe');TerminateProcessByName('c:\windows\system32\winsys2.exe');QuarantineFile('I:\autorun.inf','');QuarantineFile('c:\documents and settings\serg\Рабочий стол\µtorrent 1.8.5 (build 17091) leecher pack\utorrent 1.8.5 (17091)_noreport_seeder.exe','');QuarantineFile('SetupNTGLM7X.sys','');QuarantineFile('C:\DOCUME~1\serg\LOCALS~1\Temp\mc23.tmp','');QuarantineFile('C:\WINDOWS\System32\Drivers\awcg8t35.SYS','');QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');QuarantineFile('c:\windows\system32\winsys2.exe','');DeleteFile('c:\windows\system32\winsys2.exe');DeleteFile('SetupNTGLM7X.sys');DeleteFile('I:\autorun.inf');DeleteService('SetupNTGLM7X'); BC_ImportALL; ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. radminустанавливали сами? повторите логи авз и rsit Edited January 19, 2010 by edde Quote Link to comment Share on other sites More sharing options...
io58op Posted January 20, 2010 Author Report Share Posted January 20, 2010 сделал нове логи авз и рсит,да у меня матиринская плата MSI,радмин ставил сам,карантин я отправил это уже второй ,на первый карантин мне так и не ответили ,на второй я думаю так же не ответят :) virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Quote Link to comment Share on other sites More sharing options...
edde Posted January 20, 2010 Report Share Posted January 20, 2010 Опишите текущее состояние системы, карантин пришлите на myedde@mail.ru Quote Link to comment Share on other sites More sharing options...
io58op Posted January 20, 2010 Author Report Share Posted January 20, 2010 выслал карантин , при сканировании др.вебом вирусов не обнаружил!!!вроде исцелился :) всем спасибо !!!!ток один вопрос что предпринять чтобы не подхватить его вновь? Quote Link to comment Share on other sites More sharing options...
edde Posted January 20, 2010 Report Share Posted January 20, 2010 В карантин к попали только два файла, в них ничего вредного нет. При необходимости переустановите MSI DualCore Center. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img] Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Quote Link to comment Share on other sites More sharing options...
io58op Posted January 21, 2010 Author Report Share Posted January 21, 2010 Malwarebytes' Anti-Malware 1.44 Версия базы данных: 3607 Windows 5.1.2600 Service Pack 4 Internet Explorer 6.0.2900.2180 21.01.2010 16:19:04 mbam-log-2010-01-21 (16-19-04).txt Тип проверки: Полная (C:\|D:\|E:\|) Проверено объектов: 494934 Прошло времени: 1 hour(s), 29 minute(s), 14 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 0 Заражено значений реестра: 0 Заражено параметров реестра: 3 Заражено папок: 0 Заражено файлов: 22 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: (Вредоносные программы не обнаружены) Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: C:\Documents and Settings\All Users\Документы\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Not selected for removal. C:\Program Files\Amazing Adventures 2 - Around the World\Uninstall.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully. C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully. C:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer) -> Quarantined and deleted successfully. C:\Program Files\Cogs\Uninstall.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{3C8D6FD8-E336-478C-BE70-36D7C1335C5C}\RP1\A0000146.sys (Malware.Trace) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{3C8D6FD8-E336-478C-BE70-36D7C1335C5C}\RP5\A0000974.sys (Malware.Trace) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{3C8D6FD8-E336-478C-BE70-36D7C1335C5C}\RP5\A0001019.sys (Malware.Trace) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{3C8D6FD8-E336-478C-BE70-36D7C1335C5C}\RP5\A0001087.sys (Malware.Trace) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{3C8D6FD8-E336-478C-BE70-36D7C1335C5C}\RP5\A0001106.sys (Malware.Trace) -> Quarantined and deleted successfully. C:\Игры от NevoSoft\NevoDRM\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Not selected for removal. D:\даунлоад\Программы\Scanitto_1.10\Keygen\keygen.exe (Trojan.Downloader) -> Not selected for removal. E:\Новая папка (2)\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Not selected for removal. E:\Программы\BlazeVideo_HDTV_Player_2.5\blazevideo.hdtv.player.2.5-ismail.exe (Trojan.Downloader) -> Not selected for removal. E:\Программы\speed video splitter v2.4.37\Keymaker\Keymaker.exe (Malware.Packer) -> Not selected for removal. E:\Программы\pfclean30r4\Crack\XF-PFClean30R4-Keygen.exe (Trojan.Downloader) -> Not selected for removal. E:\Программы\pfclean30r4\Crack\XF-PFClean30R4-Patch.exe (Trojan.Downloader) -> Not selected for removal. E:\Программы\recove my files\Keygen.exe (Trojan.Downloader) -> Not selected for removal. E:\Программы\TypingMaster Pro 7.00.755(клава)\TypingMaster_Pro_7.00.755\crack\typingmaster.pro.7.00.755-NoPE.exe (Trojan.Downloader) -> Not selected for removal. E:\Программы\WinAvi Video converter\Key\keygen.exe (Trojan.Agent) -> Not selected for removal. E:\Программы\AKVIS.Coloriage.v4.1.282.1068\Coloriage.8bf (Malware.Packer) -> Not selected for removal. E:\Программы\ALER208154Russian\Keygen\Keygen.exe (Malware.Packer) -> Not selected for removal. вот лог программы Quote Link to comment Share on other sites More sharing options...
akoK Posted January 21, 2010 Report Share Posted January 21, 2010 Не забудьте очистить старые точки восстановления. Quote Link to comment Share on other sites More sharing options...
io58op Posted January 21, 2010 Author Report Share Posted January 21, 2010 все почистил :blush2: Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.