portoss Posted February 11, 2010 Report Share Posted February 11, 2010 прикрепляю все логи... спасибо заранее! virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Link to comment Share on other sites More sharing options...
edde Posted February 11, 2010 Report Share Posted February 11, 2010 Опишите проблему, в логи ничего кроме одного autorun.inf не попало Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Link to comment Share on other sites More sharing options...
akoK Posted February 11, 2010 Report Share Posted February 11, 2010 + Проверьте систему TDSS Killer. Для удобства можно воспользоваться Quick Killer - GUI + Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог. Link to comment Share on other sites More sharing options...
portoss Posted February 12, 2010 Author Report Share Posted February 12, 2010 Опишите проблему, в логи ничего кроме одного autorun.inf не попало Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Проблема в тормозах, машинка правда старенькая, взял временно с работы находясь в командировке, но всё равно тормоза не могут быть такими из-за слабоватой системы...тут явно какая-то вредоносина сидит... и при работе в любом браузере opera, firefox через некоторое время вылетает ошибка heneric host по адресу win32 и.т.д. и.т.п. становится неактивной строка ПУСК, нижняя панель, окна не сворачиваются, но с рабочего стола всё запускается... просканировал систему Malwarebytes' Anti-Malware, что-то нашёл, удалил, отправляю лог. mbam_log_2010_02_12__08_20_44_.txt mbam_log_2010_02_12__08_20_44_.txt Link to comment Share on other sites More sharing options...
edde Posted February 12, 2010 Report Share Posted February 12, 2010 Выполните рекомендации данные akoK обязательно. Лог Gmer прикрепите к следующему сообщению Link to comment Share on other sites More sharing options...
portoss Posted February 12, 2010 Author Report Share Posted February 12, 2010 Выполните рекомендации данные akoK обязательно. Лог Gmer прикрепите к следующему сообщению рекомендации выполнил... прикрепляю лог gmer. gmerlog.log gmerlog.log Link to comment Share on other sites More sharing options...
portoss Posted February 12, 2010 Author Report Share Posted February 12, 2010 такс.... проблемма не исчезла.... открывая браузер любой сразу почти выскакивает: Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. Link to comment Share on other sites More sharing options...
edde Posted February 12, 2010 Report Share Posted February 12, 2010 Не переживайте, разрулим :) Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Link to comment Share on other sites More sharing options...
portoss Posted February 12, 2010 Author Report Share Posted February 12, 2010 всё сделал...хотя удалось не сразу....несколько раз выскакивала всё та же ошибка и всё поодвисало....приходилось жёстко перезагружать и снова запускать комбофикс.... прикрепляю логи... ComboFix.rar TDSSKiller.2.2.3_12.02.2010_08.39.15_log.rar ComboFix.rar TDSSKiller.2.2.3_12.02.2010_08.39.15_log.rar Link to comment Share on other sites More sharing options...
akoK Posted February 12, 2010 Report Share Posted February 12, 2010 (edited) Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Registry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a45a7955-892f-11dd-8eff-0018f3f50c6b}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b89c75fc-0d3a-11de-8f94-001b1103a0b7}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb47d9b0-1d02-11de-8fa7-001b1103a0b7}]FileLook::c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dllc:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dllc:\windows\iun6002.exe После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. AVPTool запускали? Reader 8.0 - обновите до последней актуальной версии. И подготовьте лог virusinfo_syscure. Edited February 12, 2010 by akoK Link to comment Share on other sites More sharing options...
portoss Posted February 13, 2010 Author Report Share Posted February 13, 2010 ...всё сделал, проблема не исчезла.... во время работы Комбофикс вылезло это: PEV.cfxxe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. по окончанию всего опять: Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. и зависание.... virusinfo_syscure1.zip - это первый скрипт я делал только на диске С virusinfo_syscure.zip - это повторил по всем локальным сразу.... может проще винду переустановить??:1eye: AVP Tool не запускал, Reader не обновился, матюгнулся что и так актуален.... virusinfo_syscure1.zip virusinfo_syscure.zip ComboFix.rar virusinfo_syscure1.zip virusinfo_syscure.zip ComboFix.rar Link to comment Share on other sites More sharing options...
akoK Posted February 13, 2010 Report Share Posted February 13, 2010 (edited) Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up В логах активного заражения не видно. Проверьте систему этой версию cureit (нажимать "Войти как незарегистрированный пользователь"). Edited February 14, 2010 by akoK Link to comment Share on other sites More sharing options...
edde Posted February 13, 2010 Report Share Posted February 13, 2010 Скачайте, закройте все окна программ и запустите http://oldtimer.geekstogo.com/TFC.exe Выполните скрипт авз beginQuarantineFile('c:\windows\iun6002.exe','');end. выполните второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин quarantine.zip отправьте на myedde@mail.ru Скачайте свежий http://download.drweb.com/curenet/ и запустите проверку Обновитесь до сп3 Активного заражения у вас не наблюдается Результаты сообщите здесь в теме Link to comment Share on other sites More sharing options...
portoss Posted February 15, 2010 Author Report Share Posted February 15, 2010 CureIt (В усиленном режиме) нашёл какую-то гадость (JS.Redirector) лечить не лечит - поместил в карантин... почистил всё олдтаймером... скрипты АВЗ выполнил, архив отправил на указанную почту.... CureNet скачал, пришлось купить лицензию и дождаться её...Но он ничего не нашёл.... обновился до SP3.... Касперыч заработал вроде...нашёл два вредоносных процесса (rootkits) , которые невозможно завершить: smss.exe в папке system32 и 8d52exp.exe в C:\Documents and Settings\инга\Local Settings\temp\337BD2ED-521D29A6-40A0DE90-90DEC42\8d52exp.exe.... вот такие вот дела... ...что дальше?? Link to comment Share on other sites More sharing options...
edde Posted February 15, 2010 Report Share Posted February 15, 2010 CureNet покупать особого смысла не было :) iun6002.exe вам знаком этот файл, знаете от чего он? smss.exe в папке system32 он там и должен находиться, но если каспер ругается на руткиты, скачайте и запишите на чистой машине свежий образ на болванку http://www.freedrweb.com/livecd/ проведите проверку. Возможно вам понадобится диск с дистрибутивом windows для замены зараженных системных файлов, если они есть. Сообщите результаты. Повторите логи. Link to comment Share on other sites More sharing options...
portoss Posted February 15, 2010 Author Report Share Posted February 15, 2010 iun6002.exe вам знаком этот файл, знаете от чего он? не знаю, вот нашёл что-то в сети.... http://www.virustotal.com/ru/analisis/771c...7991cfeba089bbe а вот я отправил данный файл на вирустотал: http://www.virustotal.com/ru/analisis/e76a...b543-1260988369 Link to comment Share on other sites More sharing options...
Recommended Posts