Psyho_Belka Опубликовано 3 марта, 2010 Жалоба Поделиться Опубликовано 3 марта, 2010 начало вылезать сообщение при запуске системы "Ошибка при запуске модуля RUNDLL.exe". AVZ при проверке сказал что модифицирован запуск оболочки. проверил - действительно к запуску explorer.exe была добавлена строка "dfci.yqo" ссылающаяся на какой-то файла в системной директории. virusinfo_syscure.htm virusinfo_syscheck.htm info.txt log.txt virusinfo_syscure.htm virusinfo_syscheck.htm info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 3 марта, 2010 Жалоба Поделиться Опубликовано 3 марта, 2010 Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('c:\Recycled\esihdrv.sys','');DeleteService('esihdrv');DeleteFile('c:\Recycled\esihdrv.sys');DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполните скрипт в AVZ beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 3 марта, 2010 Жалоба Поделиться Опубликовано 3 марта, 2010 (изменено) Плюс дополнительно к предыдущему выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Megaupload_MegaManager\MegaIEMn.dll','');QuarantineFile('D:\PROGRAMM\Temp\setfsb_2_2_128_94\WinRing0.sys','');QuarantineFile('C:\WINDOWS\system32\GkSui18.EXE','');QuarantineFile('C:\WINDOWS\DUMP3fc8.tmp','');QuarantineFile('C:\Documents and Settings\Alexei\Application Data\ezpinst.exe','');QuarantineFile('C:\Recycled\HTT1D6B.tmp','');QuarantineFile('C:\Recycled\HTT1BF5.tmp','');QuarantineFile('C:\Recycled\fla1BF6.tmp','');DeleteFile('C:\Program Files\Megaupload_MegaManager\MegaIEMn.dll');DeleteFile('C:\WINDOWS\DUMP3fc8.tmp');DeleteFile('C:\Documents and Settings\Alexei\Application Data\ezpinst.exe');DeleteFile('C:\Recycled\HTT1D6B.tmp');DeleteFile('C:\Recycled\HTT1BF5.tmp');DeleteFile('C:\Recycled\fla1BF6.tmp');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(9);ExecuteRepair(13);ExecuteRepair(16);RebootWindows(true);end. Плюс Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Изменено 3 марта, 2010 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 3 марта, 2010 Автор Жалоба Поделиться Опубликовано 3 марта, 2010 Полученный ответ сообщите здесь. а если у меня архив 7+ метров? а на сайте написано макс. 6 - как быть? после выполнения указанных скриптов перестало открываться вообще что-либо - говорит что нет прав. не запускается ни одна программа, ни один элемент из панели управления. Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 3 марта, 2010 Жалоба Поделиться Опубликовано 3 марта, 2010 Воспользоваться архиватором, например... Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 3 марта, 2010 Автор Жалоба Поделиться Опубликовано 3 марта, 2010 после выполнения указанных скриптов перестало открываться вообще что-либо - говорит что нет прав. не запускается ни одна программа, ни один элемент из панели управления. хотя вот второй раз перезагрузился - вроде все норм, странно в общем. сейчас сделаю логи. Воспользоваться архиватором, например... зачем второй раз архивировать архив??? там как было 7.8 МБ, так и осталось:))) Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 3 марта, 2010 Автор Жалоба Поделиться Опубликовано 3 марта, 2010 вот новые логи вот что пишет сайт http://support.kaspersky.ru/virlab/helpdesk.html при попытке загрузить файл: 413 Request Entity Too Large. пытался загрузить карантин AVZ по частям размером 3-4 МБ. virusinfo_syscheck.htm virusinfo_syscure.htm virusinfo_syscheck.htm virusinfo_syscure.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 3 марта, 2010 Автор Жалоба Поделиться Опубликовано 3 марта, 2010 вот лог сканирования Malwarebytes' Anti-Malware: Malwarebytes' Anti-Malware 1.44 Версия базы данных: 3821 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 03.03.2010 21:27:02 mbam-log-2010-03-03 (21-26-52).txt Тип проверки: Полная (C:\|D:\|) Проверено объектов: 397438 Прошло времени: 54 minute(s), 17 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 5 Заражено значений реестра: 1 Заражено параметров реестра: 0 Заражено папок: 2 Заражено файлов: 14 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: C:\Documents and Settings\Alexei\Application Data\FieryAds (Adware.FieryAds) -> No action taken. C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Заражено файлов: Z:\autorun.inf (Worm.Agent.H) -> No action taken. C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> No action taken. C:\Documents and Settings\Alexei\Local Settings\Temporary Internet Files\Content.IE5\EDYTWPOF\z002103318r0019J10000601R3bb4049fXbc70486eYf7f90abaZ04f025530[1] (Trojan.Downloader) -> No action taken. C:\Program Files\Total Commander\Utils\SFX Tool\Upack.exe (Malware.Packer) -> No action taken. C:\Program Files\ABBYY FineReader 8.0 Professional Edition\fr8.1.3.patch.exe (Malware.Packer) -> No action taken. C:\Program Files\WebMoney Keeper Classik\WebMoney.exe (Spyware.WebMoney) -> No action taken. C:\Recycled\A67.tmp (Backdoor.Bot) -> No action taken. D:\PROGRAMM\SOFT FOR PDA\Soft для кпк_2008_2009\Игры\TOYSPRING 3D Mines v1.2 - Игры - КПК\Keygen.exe (Trojan.Downloader) -> No action taken. D:\PROGRAMM\System\Bye-bye WPA\AntiWPA_Crypt.dll (Hacktool) -> No action taken. D:\PROGRAMM\System\Bye-bye WPA\wpa_kill\AntiWPA_Crypt.dll (Hacktool) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\Documents and Settings\Alexei\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken. C:\WINDOWS\system32\d3dx10d.dll (Trojan.FakeAlert) -> No action taken. Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 3 марта, 2010 Жалоба Поделиться Опубликовано 3 марта, 2010 (изменено) D:\PROGRAMM\Temp\setfsb_2_2_128_94 ваша программа? Выполните дополнительно скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('Z:\autorun.inf','');QuarantineFile('C:\Recycled\A67.tmp','');QuarantineFile('C:\Documents and Settings\Alexei\Application Data\fieryads.dat','');QuarantineFile('C:\WINDOWS\system32\d3dx10d.dll','');DeleteFile('Z:\autorun.inf');DeleteFile('C:\Recycled\A67.tmp');DeleteFile('C:\Documents and Settings\Alexei\Application Data\fieryads.dat');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет создан Quarantine.zip прикрепите его к почтовому сообщению и вышлите на адрес myedde@mail.ru Что с проблемами? Изменено 3 марта, 2010 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 4 марта, 2010 Автор Жалоба Поделиться Опубликовано 4 марта, 2010 D:\PROGRAMM\Temp\setfsb_2_2_128_94 ваша программа? качал с нета, прога для разгона. Что с проблемами? вроде все нормально. Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 4 марта, 2010 Жалоба Поделиться Опубликовано 4 марта, 2010 Повторите логи для контроля Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 4 марта, 2010 Жалоба Поделиться Опубликовано 4 марта, 2010 + к edde Удалите в МВАМ Заражено ключей реестра:HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.Заражено значений реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.Заражено папок:C:\Documents and Settings\Alexei\Application Data\FieryAds (Adware.FieryAds) -> No action taken.C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.Заражено файлов:C:\Documents and Settings\Alexei\Local Settings\Temporary Internet Files\Content.IE5\EDYTWPOF\z002103318r0019J10000601R3bb4049fXbc70486eYf7f90abaZ04f025530[1] (Trojan.Downloader) -> No action taken.C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. Новый лог МВАМ сделайте тоже Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 4 марта, 2010 Автор Жалоба Поделиться Опубликовано 4 марта, 2010 МВАМ сказал что все чисто;) вот логи AVZ virusinfo_syscheck.htm virusinfo_syscure.htm virusinfo_syscheck.htm virusinfo_syscure.htm Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 5 марта, 2010 Жалоба Поделиться Опубликовано 5 марта, 2010 Если больше ничего не беспокоит, будьте здоровы Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 5 марта, 2010 Автор Жалоба Поделиться Опубликовано 5 марта, 2010 и вам того же :) спасибо огромное за помощь:) Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 5 марта, 2010 Жалоба Поделиться Опубликовано 5 марта, 2010 Проверьтесь еще для порядка http://www.eset.com/onlinescan/ Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти