Григорий Казанцев Опубликовано 30 июня, 2011 Жалоба Поделиться Опубликовано 30 июня, 2011 Модуль сканирования файлов, исполняемых при запуске системы файл C:\WINDOWS\system32\zddztrb.dll модифицированный Win32/Kryptik.PQK троянская программа очищен удалением (после следующего перезапуска) - изолирован После перезапуска исчезает, но через некоторое время снова появляется. Знающие люди, помогите Надоела эта шняга Ссылка на комментарий Поделиться на другие сайты Поделиться
TOLKOV Опубликовано 30 июня, 2011 Жалоба Поделиться Опубликовано 30 июня, 2011 (изменено) После перезапуска исчезает, но через некоторое время снова появляется. System Volume Information — это скрытая системная папка, которая используется программой восстановления системы для хранения своих данных и точек восстановления. Поэтому и появляется. Если удалить все точки восстановления, а после создать заново, то при сканировании он больше не обнаружится. Но провериться всё равно желательно. Оффтоп Специалисты по лечению извините, что пишу не по своему профилю, но это помогает, проверял. Изменено 30 июня, 2011 пользователем TOLKOV Ссылка на комментарий Поделиться на другие сайты Поделиться
zirreX Опубликовано 30 июня, 2011 Жалоба Поделиться Опубликовано 30 июня, 2011 Добрый вечер! Подготовьте логи в соответствии с правилами Ссылка на комментарий Поделиться на другие сайты Поделиться
Григорий Казанцев Опубликовано 2 июля, 2011 Автор Жалоба Поделиться Опубликовано 2 июля, 2011 Вот, надеюсь правильно сделал virusinfo_cure.zip virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_cure.zip virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 2 июля, 2011 Жалоба Поделиться Опубликовано 2 июля, 2011 @Григорий Казанцев, привет Отключите: Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. beginShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\303C.tmp','');QuarantineFile('C:\WINDOWS\system32\649F.tmp','');QuarantineFile('C:\WINDOWS\system32\A3E2.tmp','');QuarantineFile('C:\WINDOWS\SET8.tmp','');QuarantineFile('C:\WINDOWS\SET4.tmp','');QuarantineFile('C:\WINDOWS\SET3.tmp','');DeleteFile('C:\WINDOWS\SET3.tmp');DeleteFile('C:\WINDOWS\SET4.tmp');DeleteFile('C:\WINDOWS\SET8.tmp');DeleteFile('C:\WINDOWS\system32\A3E2.tmp');DeleteFile('C:\WINDOWS\system32\649F.tmp');DeleteFile('C:\WINDOWS\system32\303C.tmp');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему Сделайте повторные логи RSIT Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 2 июля, 2011 Жалоба Поделиться Опубликовано 2 июля, 2011 C:\Documents and Settings\Гриша\Рабочий стол\block_reader.sys пользуетесь софтиной? Ссылка на комментарий Поделиться на другие сайты Поделиться
Григорий Казанцев Опубликовано 2 июля, 2011 Автор Жалоба Поделиться Опубликовано 2 июля, 2011 C:\Documents and Settings\Гриша\Рабочий стол\block_reader.sys Даже не знаю от чего это) Логи сделал log.txt info.txt log.txt info.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Григорий Казанцев Опубликовано 2 июля, 2011 Автор Жалоба Поделиться Опубликовано 2 июля, 2011 Вот еще mbam-log-2011-07-02 (16-35-44).txt mbam-log-2011-07-02 (16-35-44).txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 2 июля, 2011 Жалоба Поделиться Опубликовано 2 июля, 2011 Отключите: Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. beginShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Гриша\Рабочий стол\block_reader.sys','');DeleteFile('C:\Documents and Settings\Гриша\Рабочий стол\block_reader.sys');DeleteService('block_reader');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему в МВАМ удалите Заражённые ключи в реестре:HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> No action taken.Заражённые параметры в реестре:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\block_reader\DisplayName (Trojan.LdPinch) -> Value: DisplayName -> No action taken. Ссылка на комментарий Поделиться на другие сайты Поделиться
Григорий Казанцев Опубликовано 2 июля, 2011 Автор Жалоба Поделиться Опубликовано 2 июля, 2011 Выполнил Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 2 июля, 2011 Жалоба Поделиться Опубликовано 2 июля, 2011 что с проблемой 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Григорий Казанцев Опубликовано 2 июля, 2011 Автор Жалоба Поделиться Опубликовано 2 июля, 2011 что с проблемой Пока что ни каких признаков присутствия вирусов, все супер :D По живем по смортим Спасибо) Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 2 июля, 2011 Жалоба Поделиться Опубликовано 2 июля, 2011 @Григорий Казанцев, не спешите, пожалуйста Создайте новую контрольную точку восстановления и очистите предыдущие: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли Для предотвращения заражения рекомендуется: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. - регулярно проверять систему антивирусными утилитами CureIT и AVPTool Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения