Карбюратор Posted May 14, 2010 Report Share Posted May 14, 2010 Вообще проблема в том что при подключение к интету комп перезагружается, да и вообще помойму много чего подхватил после подключения другого жосткого диска. virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
thyrex Posted May 15, 2010 Report Share Posted May 15, 2010 Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\windows\explorer.exe:userini.exe');QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');QuarantineFile('C:\WINDOWS\system32\XP-8A3E1595.EXE','');QuarantineFile('C:\Documents and Settings\Администратор\Application Data\dxlreu.exe','');QuarantineFile('c:\windows\explorer.exe:userini.exe','');DeleteFile('c:\windows\explorer.exe:userini.exe');DeleteFile('C:\Documents and Settings\Администратор\Application Data\dxlreu.exe');DeleteFile('C:\WINDOWS\system32\XP-8A3E1595.EXE');DeleteFile('c:\documents and settings\администратор\application data\dxlreu.exe,explorer.exe,');DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполните скрипт в AVZ beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи (полный комплект) Quote Link to comment Share on other sites More sharing options...
Карбюратор Posted May 18, 2010 Author Report Share Posted May 18, 2010 virusinfo_syscheck.zip virusinfo_syscure.zip От касперского ещё нечего не приходило, посмотрите новые логи кажется опять что то подцепил, при подключении к инету стремительно бежит трафик. virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
edde Posted May 18, 2010 Report Share Posted May 18, 2010 (edited) Выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\windows\explorer.exe:userini.exe');TerminateProcessByName('c:\windows\temp\wpv051274174438.exe');QuarantineFile('c:\windows\explorer.exe:userini.exe','');QuarantineFile('c:\windows\temp\wpv051274174438.exe','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\krnln.fnr','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\com.run','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\dp1.fne','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\shell.fne','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\eapi.fne','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\e_4\internet.fne','');QuarantineFile('c:\documents and settings\администратор\csrss.exe','');QuarantineFile('c:\windows\system32\userini.exe','');QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$data','');QuarantineFile('c:\windows\explorer.exe:userini.exe:$data','');QuarantineFile('c:\documents and settings\администратор\local settings\temp\ixp000.tmp\ns.exe','');QuarantineFile('c:\downloads\архивы\tz tools\common.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\dressroom.core.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\dressroom.ui.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\localpda.dll.bak','');QuarantineFile('c:\downloads\архивы\tz tools\tz tools.exe.bak','');QuarantineFile('c:\games\left 4 dead 2\bin\engine.dll.bak','');QuarantineFile('c:\neospy\nspl.dll.bak','');QuarantineFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001011.exe:userini.exe:$data','');QuarantineFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001076.exe:userini.exe:$data','');QuarantineFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001157.exe:userini.exe:$data','');QuarantineFile('c:\игры\burnout paradise the ultimate box\backup\burnoutparadise.exe.bak','');QuarantineFile('d:\games\painkiller resurection\bin\resurrectionupdater.exe.657920.bak','');DeleteFile('c:\windows\explorer.exe:userini.exe');DeleteFile('c:\windows\temp\wpv051274174438.exe');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\krnln.fnr');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\com.run');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\dp1.fne');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\shell.fne');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\eapi.fne');DeleteFile('c:\docume~1\9335~1\locals~1\temp\e_4\internet.fne');DeleteFile('c:\documents and settings\администратор\csrss.exe');DeleteFile('c:\windows\system32\userini.exe');DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$data');DeleteFile('c:\windows\explorer.exe:userini.exe:$data');DeleteFile('c:\documents and settings\администратор\local settings\temp\ixp000.tmp\ns.exe');DeleteFile('c:\downloads\архивы\tz tools\common.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\dressroom.core.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\dressroom.ui.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\localpda.dll.bak');DeleteFile('c:\downloads\архивы\tz tools\tz tools.exe.bak');DeleteFile('c:\games\left 4 dead 2\bin\engine.dll.bak');DeleteFile('c:\neospy\nspl.dll.bak');DeleteFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001011.exe:userini.exe:$data');DeleteFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001076.exe:userini.exe:$data');DeleteFile('c:\system volume information\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001157.exe:userini.exe:$data');DeleteFile('c:\игры\burnout paradise the ultimate box\backup\burnoutparadise.exe.bak');DeleteFile('d:\games\painkiller resurection\bin\resurrectionupdater.exe.657920.bak');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится выполните второй скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. + Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. Карантин вышлите на ящик myedde@mail.ru повторите логи, лог RSIT не забудьте Edited May 18, 2010 by edde Quote Link to comment Share on other sites More sharing options...
Карбюратор Posted May 18, 2010 Author Report Share Posted May 18, 2010 Логи авз: virusinfo_syscure.zip virusinfo_syscheck.zip Логи gmer: LoG_gmer.log Логи rsit: info.txt log.txt Карантин пока отправить не могу. virusinfo_syscure.zip virusinfo_syscheck.zip LoG_gmer.log info.txt log.txt Quote Link to comment Share on other sites More sharing options...
edde Posted May 18, 2010 Report Share Posted May 18, 2010 (edited) Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe gmer.exe -del service glahpmgmer.exe -del service hsxrtsugmer.exe -del file "C:\WINDOWS\system32\nfvwu.dll"gmer.exe -del file "c:\windows\explorer.exe:userini.exe"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\krnln.fnr"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\com.run"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\dp1.fne"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\shell.fne"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\eapi.fne"gmer.exe -del file "c:\docume~1\9335~1\locals~1\temp\e_4\internet.fne"gmer.exe -del file "c:\recycler\s-1-5-21-6952118123-5709343222-053944702-7291\yv8g67.exe"gmer.exe -del file "c:\documentsandsettings\администратор\applicationdata\lwtwfl.exe"gmer.exe -del file "c:\documentsandsettings\администратор\ctfmon.exe"gmer.exe -del file "c:\windows\system32\userini.exe"gmer.exe -del file "c:\windows\system32\svchost.exe:exe.exe:$data"gmer.exe -del file "c:\windows\explorer.exe:userini.exe:$data"gmer.exe -del file "c:\documentsandsettings\администратор\localsettings\temp\400.exe"gmer.exe -del file "c:\documentsandsettings\администратор\localsettings\temp\417.exe"gmer.exe -del file "c:\documentsandsettings\администратор\localsettings\temp\443.exe"gmer.exe -del file "c:\systemvolumeinformation\_restore{a2a12c99-0eb9-4772-b251-e750fd808122}\rp1\a0001011.exe:userini.exe:$data"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hsxrtsu"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\glahpm"gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\hsxrtsu"gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\glahpm"gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\dqorufw"gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\dqorufw"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dqorufw"gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\dqorufw"gmer.exe -reboot И запустите сохранённый пакетный файл cleanup.bat. Внимание: Компьютер перезагрузится! Сделайте новый лог gmer. Скачайте Dr.Web® LiveCD проведите полную проверку + Повторите пакет стандартных логов Edited May 18, 2010 by edde Quote Link to comment Share on other sites More sharing options...
Карбюратор Posted May 26, 2010 Author Report Share Posted May 26, 2010 Вирусы окончательно убили систему, не одна программа не запускается, я установил новую ос (win 7) и в ней сделал проверку гляньте логи. virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
edde Posted May 26, 2010 Report Share Posted May 26, 2010 Если это логи с новой системы то я вас поздравляю, у вас активно распостраняемый зловред, игрушка ваша видимо выкачанная из сети - так же с сюрпризом. лог dds сделайте еще выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('d:\documents and settings\администратор\local settings\temp\400.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temp\417.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temp\443.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temp\539.exe','');QuarantineFile('d:\documents and settings\администратор\local settings\temporary internet files\content.ie5\qsp8ps7w\cscsa[1].exe','');QuarantineFile('d:\windows\explorer.exe:userini.exe:$data','');QuarantineFile('D:\WINDOWS\system32\u5q1ghm81j.exe','');QuarantineFile('D:\NeoSpy\hl.dll',''); QuarantineFile('D:\Downloads\Архивы\rufull.ru.full.game.Hearts.of.Iron.III\rufull.ru.full.game.Hearts.of.Iron.III\map\cache\quad_1761.bin.gz',''); QuarantineFile('D:\Documents and Settings\Администратор\Рабочий стол\3G Modem Manager.exe',''); QuarantineFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.zip/{ZIP}/3G Modem Manager.exe',''); QuarantineFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.exe',''); QuarantineFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\QSP8PS7W\cscsa[1].exe','');DeleteFile('D:\WINDOWS\system32\u5q1ghm81j.exe'); DeleteFile('D:\NeoSpy\hl.dll'); DeleteFile('D:\Downloads\Архивы\rufull.ru.full.game.Hearts.of.Iron.III\rufull.ru.full.game.Hearts.of.Iron.III\map\cache\quad_1761.bin.gz'); DeleteFile('D:\Documents and Settings\Администратор\Рабочий стол\3G Modem Manager.exe'); DeleteFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.zip/{ZIP}/3G Modem Manager.exe'); DeleteFile('D:\Documents and Settings\Администратор\Мои документы\Депозит и другие\3G Modem Manager.exe'); DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\QSP8PS7W\cscsa[1].exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\400.exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\417.exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\443.exe');DeleteFile('d:\documents and settings\администратор\local settings\temp\539.exe');DeleteFile('d:\documents and settings\администратор\local settings\temporary internet files\content.ie5\qsp8ps7w\cscsa[1].exe');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Скачайте http://www.freedrweb.com/livecd/ проведите проверку всех дисков - это обязательно Quote Link to comment Share on other sites More sharing options...
Карбюратор Posted May 26, 2010 Author Report Share Posted May 26, 2010 Ссылка на dds не открывается Quote Link to comment Share on other sites More sharing options...
Карбюратор Posted May 26, 2010 Author Report Share Posted May 26, 2010 После выполнения скрипта авз зависла комп не перезагрузился. virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscure.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
edde Posted May 26, 2010 Report Share Posted May 26, 2010 (edited) Вы выполнили? Скачайте http://www.freedrweb.com/livecd/ проведите проверку всех дисков - это обязательно Edited May 26, 2010 by edde Quote Link to comment Share on other sites More sharing options...
Карбюратор Posted May 26, 2010 Author Report Share Posted May 26, 2010 http://www.freedrweb.com/livecd/ не открывается... Quote Link to comment Share on other sites More sharing options...
akoK Posted May 26, 2010 Report Share Posted May 26, 2010 Карбюратор: у вебовцев проблемы с DNS. http://virusnet.ifolder.ru/17884321 - временно залил cureit на файлообменник. Quote Link to comment Share on other sites More sharing options...
Карбюратор Posted May 26, 2010 Author Report Share Posted May 26, 2010 Карбюратор: у вебовцев проблемы с DNS. http://virusnet.ifolder.ru/17884321 - временно залил cureit на файлообменник. А так это просто cureit, есть у меня сейчас поставлю проверку. Quote Link to comment Share on other sites More sharing options...
Карбюратор Posted May 28, 2010 Author Report Share Posted May 28, 2010 Сделал проверку нашлось 8 зараженных объектов. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.