Psyho_Belka Опубликовано 3 марта, 2010 Жалоба Поделиться Опубликовано 3 марта, 2010 начало вылезать сообщение при запуске системы "Ошибка при запуске модуля RUNDLL.exe". AVZ при проверке сказал что модифицирован запуск оболочки. проверил - действительно к запуску explorer.exe была добавлена строка "dfci.yqo" ссылающаяся на какой-то файла в системной директории. virusinfo_syscure.htm virusinfo_syscheck.htm info.txt log.txt virusinfo_syscure.htm virusinfo_syscheck.htm info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 3 марта, 2010 Жалоба Поделиться Опубликовано 3 марта, 2010 Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('c:\Recycled\esihdrv.sys','');DeleteService('esihdrv');DeleteFile('c:\Recycled\esihdrv.sys');DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполните скрипт в AVZ beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 3 марта, 2010 Жалоба Поделиться Опубликовано 3 марта, 2010 (изменено) Плюс дополнительно к предыдущему выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Megaupload_MegaManager\MegaIEMn.dll','');QuarantineFile('D:\PROGRAMM\Temp\setfsb_2_2_128_94\WinRing0.sys','');QuarantineFile('C:\WINDOWS\system32\GkSui18.EXE','');QuarantineFile('C:\WINDOWS\DUMP3fc8.tmp','');QuarantineFile('C:\Documents and Settings\Alexei\Application Data\ezpinst.exe','');QuarantineFile('C:\Recycled\HTT1D6B.tmp','');QuarantineFile('C:\Recycled\HTT1BF5.tmp','');QuarantineFile('C:\Recycled\fla1BF6.tmp','');DeleteFile('C:\Program Files\Megaupload_MegaManager\MegaIEMn.dll');DeleteFile('C:\WINDOWS\DUMP3fc8.tmp');DeleteFile('C:\Documents and Settings\Alexei\Application Data\ezpinst.exe');DeleteFile('C:\Recycled\HTT1D6B.tmp');DeleteFile('C:\Recycled\HTT1BF5.tmp');DeleteFile('C:\Recycled\fla1BF6.tmp');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(9);ExecuteRepair(13);ExecuteRepair(16);RebootWindows(true);end. Плюс Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Изменено 3 марта, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 3 марта, 2010 Автор Жалоба Поделиться Опубликовано 3 марта, 2010 Полученный ответ сообщите здесь. а если у меня архив 7+ метров? а на сайте написано макс. 6 - как быть? после выполнения указанных скриптов перестало открываться вообще что-либо - говорит что нет прав. не запускается ни одна программа, ни один элемент из панели управления. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 3 марта, 2010 Жалоба Поделиться Опубликовано 3 марта, 2010 Воспользоваться архиватором, например... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 3 марта, 2010 Автор Жалоба Поделиться Опубликовано 3 марта, 2010 после выполнения указанных скриптов перестало открываться вообще что-либо - говорит что нет прав. не запускается ни одна программа, ни один элемент из панели управления. хотя вот второй раз перезагрузился - вроде все норм, странно в общем. сейчас сделаю логи. Воспользоваться архиватором, например... зачем второй раз архивировать архив??? там как было 7.8 МБ, так и осталось:))) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 3 марта, 2010 Автор Жалоба Поделиться Опубликовано 3 марта, 2010 вот новые логи вот что пишет сайт http://support.kaspersky.ru/virlab/helpdesk.html при попытке загрузить файл: 413 Request Entity Too Large. пытался загрузить карантин AVZ по частям размером 3-4 МБ. virusinfo_syscheck.htm virusinfo_syscure.htm virusinfo_syscheck.htm virusinfo_syscure.htm Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 3 марта, 2010 Автор Жалоба Поделиться Опубликовано 3 марта, 2010 вот лог сканирования Malwarebytes' Anti-Malware: Malwarebytes' Anti-Malware 1.44 Версия базы данных: 3821 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 03.03.2010 21:27:02 mbam-log-2010-03-03 (21-26-52).txt Тип проверки: Полная (C:\|D:\|) Проверено объектов: 397438 Прошло времени: 54 minute(s), 17 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 5 Заражено значений реестра: 1 Заражено параметров реестра: 0 Заражено папок: 2 Заражено файлов: 14 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: C:\Documents and Settings\Alexei\Application Data\FieryAds (Adware.FieryAds) -> No action taken. C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Заражено файлов: Z:\autorun.inf (Worm.Agent.H) -> No action taken. C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> No action taken. C:\Documents and Settings\Alexei\Local Settings\Temporary Internet Files\Content.IE5\EDYTWPOF\z002103318r0019J10000601R3bb4049fXbc70486eYf7f90abaZ04f025530[1] (Trojan.Downloader) -> No action taken. C:\Program Files\Total Commander\Utils\SFX Tool\Upack.exe (Malware.Packer) -> No action taken. C:\Program Files\ABBYY FineReader 8.0 Professional Edition\fr8.1.3.patch.exe (Malware.Packer) -> No action taken. C:\Program Files\WebMoney Keeper Classik\WebMoney.exe (Spyware.WebMoney) -> No action taken. C:\Recycled\A67.tmp (Backdoor.Bot) -> No action taken. D:\PROGRAMM\SOFT FOR PDA\Soft для кпк_2008_2009\Игры\TOYSPRING 3D Mines v1.2 - Игры - КПК\Keygen.exe (Trojan.Downloader) -> No action taken. D:\PROGRAMM\System\Bye-bye WPA\AntiWPA_Crypt.dll (Hacktool) -> No action taken. D:\PROGRAMM\System\Bye-bye WPA\wpa_kill\AntiWPA_Crypt.dll (Hacktool) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\Documents and Settings\Alexei\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken. C:\WINDOWS\system32\d3dx10d.dll (Trojan.FakeAlert) -> No action taken. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 3 марта, 2010 Жалоба Поделиться Опубликовано 3 марта, 2010 (изменено) D:\PROGRAMM\Temp\setfsb_2_2_128_94 ваша программа? Выполните дополнительно скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('Z:\autorun.inf','');QuarantineFile('C:\Recycled\A67.tmp','');QuarantineFile('C:\Documents and Settings\Alexei\Application Data\fieryads.dat','');QuarantineFile('C:\WINDOWS\system32\d3dx10d.dll','');DeleteFile('Z:\autorun.inf');DeleteFile('C:\Recycled\A67.tmp');DeleteFile('C:\Documents and Settings\Alexei\Application Data\fieryads.dat');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет создан Quarantine.zip прикрепите его к почтовому сообщению и вышлите на адрес myedde@mail.ru Что с проблемами? Изменено 3 марта, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 4 марта, 2010 Автор Жалоба Поделиться Опубликовано 4 марта, 2010 D:\PROGRAMM\Temp\setfsb_2_2_128_94 ваша программа? качал с нета, прога для разгона. Что с проблемами? вроде все нормально. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 4 марта, 2010 Жалоба Поделиться Опубликовано 4 марта, 2010 Повторите логи для контроля Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 4 марта, 2010 Жалоба Поделиться Опубликовано 4 марта, 2010 + к edde Удалите в МВАМ Заражено ключей реестра:HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.Заражено значений реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.Заражено папок:C:\Documents and Settings\Alexei\Application Data\FieryAds (Adware.FieryAds) -> No action taken.C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.Заражено файлов:C:\Documents and Settings\Alexei\Local Settings\Temporary Internet Files\Content.IE5\EDYTWPOF\z002103318r0019J10000601R3bb4049fXbc70486eYf7f90abaZ04f025530[1] (Trojan.Downloader) -> No action taken.C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. Новый лог МВАМ сделайте тоже Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 4 марта, 2010 Автор Жалоба Поделиться Опубликовано 4 марта, 2010 МВАМ сказал что все чисто;) вот логи AVZ virusinfo_syscheck.htm virusinfo_syscure.htm virusinfo_syscheck.htm virusinfo_syscure.htm Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 5 марта, 2010 Жалоба Поделиться Опубликовано 5 марта, 2010 Если больше ничего не беспокоит, будьте здоровы Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Psyho_Belka Опубликовано 5 марта, 2010 Автор Жалоба Поделиться Опубликовано 5 марта, 2010 и вам того же :) спасибо огромное за помощь:) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 5 марта, 2010 Жалоба Поделиться Опубликовано 5 марта, 2010 Проверьтесь еще для порядка http://www.eset.com/onlinescan/ Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.