Psyho_Belka Posted March 3, 2010 Report Share Posted March 3, 2010 начало вылезать сообщение при запуске системы "Ошибка при запуске модуля RUNDLL.exe". AVZ при проверке сказал что модифицирован запуск оболочки. проверил - действительно к запуску explorer.exe была добавлена строка "dfci.yqo" ссылающаяся на какой-то файла в системной директории. virusinfo_syscure.htm virusinfo_syscheck.htm info.txt log.txt virusinfo_syscure.htm virusinfo_syscheck.htm info.txt log.txt Quote Link to comment Share on other sites More sharing options...
thyrex Posted March 3, 2010 Report Share Posted March 3, 2010 Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('c:\Recycled\esihdrv.sys','');DeleteService('esihdrv');DeleteFile('c:\Recycled\esihdrv.sys');DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполните скрипт в AVZ beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи Quote Link to comment Share on other sites More sharing options...
edde Posted March 3, 2010 Report Share Posted March 3, 2010 (edited) Плюс дополнительно к предыдущему выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\Megaupload_MegaManager\MegaIEMn.dll','');QuarantineFile('D:\PROGRAMM\Temp\setfsb_2_2_128_94\WinRing0.sys','');QuarantineFile('C:\WINDOWS\system32\GkSui18.EXE','');QuarantineFile('C:\WINDOWS\DUMP3fc8.tmp','');QuarantineFile('C:\Documents and Settings\Alexei\Application Data\ezpinst.exe','');QuarantineFile('C:\Recycled\HTT1D6B.tmp','');QuarantineFile('C:\Recycled\HTT1BF5.tmp','');QuarantineFile('C:\Recycled\fla1BF6.tmp','');DeleteFile('C:\Program Files\Megaupload_MegaManager\MegaIEMn.dll');DeleteFile('C:\WINDOWS\DUMP3fc8.tmp');DeleteFile('C:\Documents and Settings\Alexei\Application Data\ezpinst.exe');DeleteFile('C:\Recycled\HTT1D6B.tmp');DeleteFile('C:\Recycled\HTT1BF5.tmp');DeleteFile('C:\Recycled\fla1BF6.tmp');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(9);ExecuteRepair(13);ExecuteRepair(16);RebootWindows(true);end. Плюс Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Edited March 3, 2010 by edde Quote Link to comment Share on other sites More sharing options...
Psyho_Belka Posted March 3, 2010 Author Report Share Posted March 3, 2010 Полученный ответ сообщите здесь. а если у меня архив 7+ метров? а на сайте написано макс. 6 - как быть? после выполнения указанных скриптов перестало открываться вообще что-либо - говорит что нет прав. не запускается ни одна программа, ни один элемент из панели управления. Quote Link to comment Share on other sites More sharing options...
Yezhishe Posted March 3, 2010 Report Share Posted March 3, 2010 Воспользоваться архиватором, например... Quote Link to comment Share on other sites More sharing options...
Psyho_Belka Posted March 3, 2010 Author Report Share Posted March 3, 2010 после выполнения указанных скриптов перестало открываться вообще что-либо - говорит что нет прав. не запускается ни одна программа, ни один элемент из панели управления. хотя вот второй раз перезагрузился - вроде все норм, странно в общем. сейчас сделаю логи. Воспользоваться архиватором, например... зачем второй раз архивировать архив??? там как было 7.8 МБ, так и осталось:))) Quote Link to comment Share on other sites More sharing options...
Psyho_Belka Posted March 3, 2010 Author Report Share Posted March 3, 2010 вот новые логи вот что пишет сайт http://support.kaspersky.ru/virlab/helpdesk.html при попытке загрузить файл: 413 Request Entity Too Large. пытался загрузить карантин AVZ по частям размером 3-4 МБ. virusinfo_syscheck.htm virusinfo_syscure.htm virusinfo_syscheck.htm virusinfo_syscure.htm Quote Link to comment Share on other sites More sharing options...
Psyho_Belka Posted March 3, 2010 Author Report Share Posted March 3, 2010 вот лог сканирования Malwarebytes' Anti-Malware: Malwarebytes' Anti-Malware 1.44 Версия базы данных: 3821 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 03.03.2010 21:27:02 mbam-log-2010-03-03 (21-26-52).txt Тип проверки: Полная (C:\|D:\|) Проверено объектов: 397438 Прошло времени: 54 minute(s), 17 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 5 Заражено значений реестра: 1 Заражено параметров реестра: 0 Заражено папок: 2 Заражено файлов: 14 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: C:\Documents and Settings\Alexei\Application Data\FieryAds (Adware.FieryAds) -> No action taken. C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Заражено файлов: Z:\autorun.inf (Worm.Agent.H) -> No action taken. C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> No action taken. C:\Documents and Settings\Alexei\Local Settings\Temporary Internet Files\Content.IE5\EDYTWPOF\z002103318r0019J10000601R3bb4049fXbc70486eYf7f90abaZ04f025530[1] (Trojan.Downloader) -> No action taken. C:\Program Files\Total Commander\Utils\SFX Tool\Upack.exe (Malware.Packer) -> No action taken. C:\Program Files\ABBYY FineReader 8.0 Professional Edition\fr8.1.3.patch.exe (Malware.Packer) -> No action taken. C:\Program Files\WebMoney Keeper Classik\WebMoney.exe (Spyware.WebMoney) -> No action taken. C:\Recycled\A67.tmp (Backdoor.Bot) -> No action taken. D:\PROGRAMM\SOFT FOR PDA\Soft для кпк_2008_2009\Игры\TOYSPRING 3D Mines v1.2 - Игры - КПК\Keygen.exe (Trojan.Downloader) -> No action taken. D:\PROGRAMM\System\Bye-bye WPA\AntiWPA_Crypt.dll (Hacktool) -> No action taken. D:\PROGRAMM\System\Bye-bye WPA\wpa_kill\AntiWPA_Crypt.dll (Hacktool) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\Documents and Settings\Alexei\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken. C:\WINDOWS\system32\d3dx10d.dll (Trojan.FakeAlert) -> No action taken. Quote Link to comment Share on other sites More sharing options...
edde Posted March 3, 2010 Report Share Posted March 3, 2010 (edited) D:\PROGRAMM\Temp\setfsb_2_2_128_94 ваша программа? Выполните дополнительно скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('Z:\autorun.inf','');QuarantineFile('C:\Recycled\A67.tmp','');QuarantineFile('C:\Documents and Settings\Alexei\Application Data\fieryads.dat','');QuarantineFile('C:\WINDOWS\system32\d3dx10d.dll','');DeleteFile('Z:\autorun.inf');DeleteFile('C:\Recycled\A67.tmp');DeleteFile('C:\Documents and Settings\Alexei\Application Data\fieryads.dat');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет создан Quarantine.zip прикрепите его к почтовому сообщению и вышлите на адрес myedde@mail.ru Что с проблемами? Edited March 3, 2010 by edde Quote Link to comment Share on other sites More sharing options...
Psyho_Belka Posted March 4, 2010 Author Report Share Posted March 4, 2010 D:\PROGRAMM\Temp\setfsb_2_2_128_94 ваша программа? качал с нета, прога для разгона. Что с проблемами? вроде все нормально. Quote Link to comment Share on other sites More sharing options...
edde Posted March 4, 2010 Report Share Posted March 4, 2010 Повторите логи для контроля Quote Link to comment Share on other sites More sharing options...
thyrex Posted March 4, 2010 Report Share Posted March 4, 2010 + к edde Удалите в МВАМ Заражено ключей реестра:HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.Заражено значений реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.Заражено папок:C:\Documents and Settings\Alexei\Application Data\FieryAds (Adware.FieryAds) -> No action taken.C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.Заражено файлов:C:\Documents and Settings\Alexei\Local Settings\Temporary Internet Files\Content.IE5\EDYTWPOF\z002103318r0019J10000601R3bb4049fXbc70486eYf7f90abaZ04f025530[1] (Trojan.Downloader) -> No action taken.C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. Новый лог МВАМ сделайте тоже Quote Link to comment Share on other sites More sharing options...
Psyho_Belka Posted March 4, 2010 Author Report Share Posted March 4, 2010 МВАМ сказал что все чисто;) вот логи AVZ virusinfo_syscheck.htm virusinfo_syscure.htm virusinfo_syscheck.htm virusinfo_syscure.htm Quote Link to comment Share on other sites More sharing options...
edde Posted March 5, 2010 Report Share Posted March 5, 2010 Если больше ничего не беспокоит, будьте здоровы Quote Link to comment Share on other sites More sharing options...
Psyho_Belka Posted March 5, 2010 Author Report Share Posted March 5, 2010 и вам того же :) спасибо огромное за помощь:) Quote Link to comment Share on other sites More sharing options...
edde Posted March 5, 2010 Report Share Posted March 5, 2010 Проверьтесь еще для порядка http://www.eset.com/onlinescan/ Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.