Карбюратор Опубликовано 14 мая, 2010 Жалоба Поделиться Опубликовано 14 мая, 2010 Вообще проблема в том что при подключение к интету комп перезагружается, да и вообще помойму много чего подхватил после подключения другого жосткого диска. virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 15 мая, 2010 Жалоба Поделиться Опубликовано 15 мая, 2010 Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\windows\explorer.exe:userini.exe');QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');QuarantineFile('C:\WINDOWS\system32\XP-8A3E1595.EXE','');QuarantineFile('C:\Documents and Settings\Администратор\Application Data\dxlreu.exe','');QuarantineFile('c:\windows\explorer.exe:userini.exe','');DeleteFile('c:\windows\explorer.exe:userini.exe');DeleteFile('C:\Documents and Settings\Администратор\Application Data\dxlreu.exe');DeleteFile('C:\WINDOWS\system32\XP-8A3E1595.EXE');DeleteFile('c:\documents and settings\администратор\application data\dxlreu.exe,explorer.exe,');DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполните скрипт в AVZ beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи (полный комплект) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Карбюратор Опубликовано 18 мая, 2010 Автор Жалоба Поделиться Опубликовано 18 мая, 2010 virusinfo_syscheck.zip virusinfo_syscure.zip От касперского ещё нечего не приходило, посмотрите новые логи кажется опять что то подцепил, при подключении к инету стремительно бежит трафик. virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 18 мая, 2010 Жалоба Поделиться Опубликовано 18 мая, 2010 (изменено) Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\windows\explorer.exe:userini.exe');TerminateProcessByName('c:\windows\temp\wpv051274174438.exe');QuarantineFile('c:\windows\explorer.exe:userini.exe','');QuarantineFile('c:\windows\temp\wpv051274174438.exe','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\krnln.fnr','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\com.run','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\dp1.fne','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\shell.fne','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\eapi.fne','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\internet.fne','');QuarantineFile('c:\documents and settings\администратор\csrss.exe','');QuarantineFile('c:\windows\system32\userini.exe','');QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$data','');QuarantineFile('c:\windows\explorer.exe:userini.exe:$data','');QuarantineFile('c:\documents and settings\администратор\local settings\temp\ixp000.tmp\ns.exe','');QuarantineFile('c:\downloads\архивы\tz tools\common.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\dressroom.core.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\dressroom.ui.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\localpda.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\tz tools.exe.bak','');QuarantineFile('c:\games\left 4 dead 2\bin\engine.dll.bak','');QuarantineFile('c:\neospy\nspl.dll.bak','');QuarantineFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001011.exe:userini.exe:$data','');QuarantineFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001076.exe:userini.exe:$data','');QuarantineFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001157.exe:userini.exe:$data','');QuarantineFile('c:\игры\burnout paradise the ultimate box\backup\burnoutparadise.exe.bak','');QuarantineFile('d:\games\painkiller resurection\bin\resurrectionupdater.exe.657920.bak','');DeleteFile('c:\windows\explorer.exe:userini.exe');DeleteFile('c:\windows\temp\wpv051274174438.exe');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\krnln.fnr');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\com.run');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\dp1.fne');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\shell.fne');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\eapi.fne');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\internet.fne');DeleteFile('c:\documents and settings\администратор\csrss.exe');DeleteFile('c:\windows\system32\userini.exe');DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$data');DeleteFile('c:\windows\explorer.exe:userini.exe:$data');DeleteFile('c:\documents and settings\администратор\local settings\temp\ixp000.tmp\ns.exe');DeleteFile('c:\downloads\архивы\tz tools\common.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\dressroom.core.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\dressroom.ui.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\localpda.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\tz tools.exe.bak');DeleteFile('c:\games\left 4 dead 2\bin\engine.dll.bak');DeleteFile('c:\neospy\nspl.dll.bak');DeleteFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001011.exe:userini.exe:$data');DeleteFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001076.exe:userini.exe:$data');DeleteFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001157.exe:userini.exe:$data');DeleteFile('c:\игры\burnout paradise the ultimate box\backup\burnoutparadise.exe.bak');DeleteFile('d:\games\painkiller resurection\bin\resurrectionupdater.exe.657920.bak');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. + Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. Карантин вышлите на ящик myedde@mail.ru повторите логи, лог RSIT не забудьте Изменено 18 мая, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Карбюратор Опубликовано 18 мая, 2010 Автор Жалоба Поделиться Опубликовано 18 мая, 2010 Логи авз: virusinfo_syscure.zip virusinfo_syscheck.zip Логи gmer: LoG_gmer.log Логи rsit: info.txt log.txt Карантин пока отправить не могу. virusinfo_syscure.zip virusinfo_syscheck.zip LoG_gmer.log info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 18 мая, 2010 Жалоба Поделиться Опубликовано 18 мая, 2010 (изменено) Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe gmer.exe -del service glahpmgmer.exe -del service hsxrtsugmer.exe -del file "C:\WINDOWS\system32\nfvwu.dll"gmer.exe -del file "c:\windows\explorer.exe:userini.exe"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\krnln.fnr"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\com.run"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\dp1.fne"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\shell.fne"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\eapi.fne"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\internet.fne"gmer.exe -del file "c:\recycler\s-1-5-21-6952118123-5709343222-053944702-7291\yv8g67.exe"gmer.exe -del file "c:\documentsandsettings\администратор\applicationdata\lwtwfl.exe"gmer.exe -del file "c:\documentsandsettings\администратор\ctfmon.exe"gmer.exe -del file "c:\windows\system32\userini.exe"gmer.exe -del file "c:\windows\system32\svchost.exe:exe.exe:$data"gmer.exe -del file "c:\windows\explorer.exe:userini.exe:$data"gmer.exe -del file "c:\documentsandsettings\администратор\localsettings\temp\400.exe"gmer.exe -del file "c:\documentsandsettings\администратор\localsettings\temp\417.exe"gmer.exe -del file "c:\documentsandsettings\администратор\localsettings\temp\443.exe"gmer.exe -del file "c:\systemvolumeinformation\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001011.exe:userini.exe:$data"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hsxrtsu"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glahpm"gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\hsxrtsu"gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\glahpm"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\dqorufw"gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\dqorufw"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dqorufw"gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\dqorufw"gmer.exe -reboot И запустите сохранённый пакетный файл cleanup.bat. Внимание: Компьютер перезагрузится! Сделайте новый лог gmer. Скачайте Dr.Web® LiveCD проведите полную проверку + Повторите пакет стандартных логов Изменено 18 мая, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Карбюратор Опубликовано 26 мая, 2010 Автор Жалоба Поделиться Опубликовано 26 мая, 2010 Вирусы окончательно убили систему, не одна программа не запускается, я установил новую ос (win 7) и в ней сделал проверку гляньте логи. virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 26 мая, 2010 Жалоба Поделиться Опубликовано 26 мая, 2010 Если это логи с новой системы то я вас поздравляю, у вас активно распостраняемый зловред, игрушка ваша видимо выкачанная из сети - так же с сюрпризом. лог dds сделайте еще выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('d:\documents and settings\администратор\local settings\temp\400.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temp\417.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temp\443.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temp\539.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temporary internet files\content.ie5\qsp8ps7w\cscsa[1].exe','');QuarantineFile('d:\windows\explorer.exe:userini.exe:$data','');QuarantineFile('D:\WINDOWS\system32\u5q1ghm81j.exe','');QuarantineFile('D:\NeoSpy\hl.dll',''); QuarantineFile('D:\Downloads\Архивы\rufull.ru.full.game.Hearts.of.Iron.III\rufull.ru.full.game.Hearts.of.Iron.III\map\cache\quad_1761.bin.gz',''); QuarantineFile('D:\Documents and Settings\Администратор\Рабочий стол\3G Modem Manager.exe',''); QuarantineFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.zip/{ZIP}/3G Modem Manager.exe',''); QuarantineFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.exe',''); QuarantineFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\QSP8PS7W\cscsa[1].exe','');DeleteFile('D:\WINDOWS\system32\u5q1ghm81j.exe'); DeleteFile('D:\NeoSpy\hl.dll'); DeleteFile('D:\Downloads\Архивы\rufull.ru.full.game.Hearts.of.Iron.III\rufull.ru.full.game.Hearts.of.Iron.III\map\cache\quad_1761.bin.gz'); DeleteFile('D:\Documents and Settings\Администратор\Рабочий стол\3G Modem Manager.exe'); DeleteFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.zip/{ZIP}/3G Modem Manager.exe'); DeleteFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.exe'); DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\QSP8PS7W\cscsa[1].exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\400.exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\417.exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\443.exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\539.exe');DeleteFile('d:\documents and settings\администратор\local settings\temporary internet files\content.ie5\qsp8ps7w\cscsa[1].exe');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Скачайте http://www.freedrweb.com/livecd/ проведите проверку всех дисков - это обязательно Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Карбюратор Опубликовано 26 мая, 2010 Автор Жалоба Поделиться Опубликовано 26 мая, 2010 Ссылка на dds не открывается Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Карбюратор Опубликовано 26 мая, 2010 Автор Жалоба Поделиться Опубликовано 26 мая, 2010 После выполнения скрипта авз зависла комп не перезагрузился. virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscure.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 26 мая, 2010 Жалоба Поделиться Опубликовано 26 мая, 2010 (изменено) Вы выполнили? Скачайте http://www.freedrweb.com/livecd/ проведите проверку всех дисков - это обязательно Изменено 26 мая, 2010 пользователем edde Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Карбюратор Опубликовано 26 мая, 2010 Автор Жалоба Поделиться Опубликовано 26 мая, 2010 http://www.freedrweb.com/livecd/ не открывается... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 мая, 2010 Жалоба Поделиться Опубликовано 26 мая, 2010 Карбюратор: у вебовцев проблемы с DNS. http://virusnet.ifolder.ru/17884321 - временно залил cureit на файлообменник. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Карбюратор Опубликовано 26 мая, 2010 Автор Жалоба Поделиться Опубликовано 26 мая, 2010 Карбюратор: у вебовцев проблемы с DNS. http://virusnet.ifolder.ru/17884321 - временно залил cureit на файлообменник. А так это просто cureit, есть у меня сейчас поставлю проверку. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Карбюратор Опубликовано 28 мая, 2010 Автор Жалоба Поделиться Опубликовано 28 мая, 2010 Сделал проверку нашлось 8 зараженных объектов. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.