Показать полную графическую версию : вирусы
Выполнил, вот лог. Брендмаузер можно включать обратно?
Брендмаузер можно включать обратно? »
На время работы скриптов отключайте.
Вам необходимо заменить системный файл.Ваш пропатчен.
c:\windows\regedit.exe
Как это сделать можете прочитать здесь (http://safezone.cc/forum/showthread.php?t=10616)
Проверьте на Virustotal (http://www.virustotal.com/) вот эти файлы
C:\browser.exe
C:\xdx.exe
c:\windows\system32\S753A751.EXE
Ссылку на результат запостите здесь.
+
Повторите логи АВЗ
+
Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/forum/downloads.php?do=file&id=4&act=down). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
+
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://www.malwarebytes.org/mbam/database/mbam-rules.exe)
Сложно.. А можно regedit.exe взять со здорового компьютера, и с флешки как нибудь записать взамен моего?
http://www.virustotal.com/file-scan/report.html?id=28091885f519c5de32f4a8c636114c42903e1437ee354faf836de4d357da42af-1297069552
http://www.virustotal.com/file-scan/report.html?id=9220c0f6155d3b6c3a3b4c2fd11216e62f4b429b4d93bb17f3e4d3e7af295f9a-1297069674
http://www.virustotal.com/file-scan/report.html?id=01c8f5f50193a9cd30f6718c9832f3195680edce79a60c7a2be66d8f9906a0bf-1297069962
Анализ файлов:
C:\browser.exe
C:\xdx.exe
c:\windows\system32\S753A751.EXE
iskander-k
07-02-2011, 13:37
c:\windows\regedit.exe - -проверьте на http://www.virustotal.com ссылку на результат в тему. (возможно ложное срабатывание так как у вас сборка)
Программу c:\program files\SMSDV - вы сами устанавливали ?
• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).
KillAll::
File::
c:\documents and settings\Admin\dq.exe
C:\vncutil.exe
C:\browser.exe
C:\xdx.exe
c:\windows\system32\S753A751.EXE
c:\windows\system32\ZH139.EXE
Driver::
Folder::
Registry::
FileLook::
DirLook::
c:\program files\SMSDV
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
IP ваш ?
109.126.0.67 109.126.1.67
109.126.0.67(cdns2.vladlink.net)
Страна по данным WhoIS: RU Russian Federation (Россия)
Страна по данным GeoIP: RU Russian Federation (Россия) Город: Vladivostok
Результат сканирования Malwarebytes' Anti-Malware.
Нашел 91 вирус. Свернул, удалять или закрыть программу для манипуляций с ComboFix?
http://www.virustotal.com/file-scan/report.html?id=b74c9b03028923ea5caec1dae3d38819aa6f39cc8c03557f01389b5ac3aabb85-1297076342
Smsdv я сам устанавливал.
повтор
Результат сканирования Malwarebytes' Anti-Malware.
Нашел 91 вирус. » Выложите отчет, а также отчет комбофикс
http://ifolder.ru/21753604 отчет Malwarebytes'.
сейчас буду выполнять действия с комбификс
Nimur, удалите в МВАМ эти строчки
Заражённые процессы в памяти:
c:\WINDOWS\system32\txzrm.exe (Trojan.Agent) -> 492 -> No action taken.
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635853} (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635853} (Backdoor.Agent) -> No action taken.
Заражённые папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
Заражённые файлы:
c:\WINDOWS\system32\txzrm.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-51-9-25-3434974274-1472494965-644317114-1374\bszhbt.exe (Backdoor.Agent) -> No action taken.
c:\vncutil.exe (Trojan.Agent) -> No action taken.
c:\xdx.exe (Worm.Zeroll) -> No action taken.
c:\documents and settings\Admin\dq.exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\Admin\doctorweb\quarantine\avz00001.dta (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\IZG308MB\dq[1].exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\K1CTL969\dq[1].exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\K1CTL969\zz[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\LW253GTU\zz[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\VGGK3QUJ\udv[1].exe (Worm.Zeroll) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8G91UK58\app[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\DRP833PJ\udv[1].exe (Worm.Zeroll) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X6L1ZMCE\udv[1].exe (Worm.Zeroll) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X6L1ZMCE\udv[2].exe (Worm.Zeroll) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\X6L1ZMCE\zz[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\XGR0168X\r96[1].exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\XGR0168X\r96[2].exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\XGR0168X\r96[3].exe (Trojan.Autorun) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\XGR0168X\zz[1].exe (Trojan.Agent) -> No action taken.
c:\Qoobox\quarantine\C\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe.vir (Worm.Zeroll) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\ggdrive32.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\11.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\18.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\25.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\28.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\40.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\42.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\44.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\48.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\51.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\52.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\53.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\58.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\62.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\70.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\71.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\73.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\83.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\86.exe.vir (Trojan.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\dp1.fne.vir (Worm.Autorun) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\internet.fne.vir (HackTool.Patcher) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe (Worm.Zeroll) -> No action taken.
c:\system volume information\_restore{889235de-8705-469c-865d-f8cbf170dc24}\RP1\A0000004.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{889235de-8705-469c-865d-f8cbf170dc24}\RP1\A0000020.exe (Trojan.Autorun) -> No action taken.
c:\system volume information\_restore{889235de-8705-469c-865d-f8cbf170dc24}\RP2\A0010748.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{889235de-8705-469c-865d-f8cbf170dc24}\RP3\A0011028.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{889235de-8705-469c-865d-f8cbf170dc24}\RP3\A0011029.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{889235de-8705-469c-865d-f8cbf170dc24}\RP4\A0011043.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\ggdrive32.exe (Trojan.Autorun) -> No action taken.
c:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\02.scr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\06.exe (Trojan.Autorun) -> No action taken.
c:\WINDOWS\system32\07.scr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\10.scr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\67.scr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\msvcp100.dll (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\41.exe (Trojan.Autorun) -> No action taken.
c:\WINDOWS\system32\42.exe (Trojan.Autorun) -> No action taken.
c:\WINDOWS\system32\44.exe (Trojan.Autorun) -> No action taken.
http://ifolder.ru/21754041
лог комбификса
как это сделать? занова запустить сканирование, а потом удалить строки из отчета?
как это сделать? »
После окончания сканирование отметить указанные строчки и нажать удалить.
После того как удалите подготовьте контрольные логи АВЗ и RSIT
http://ifolder.ru/21755399
новый лог МВАМ, теперь нашел 96 вирусов, посмотрите пожалуйста может новые добавить в строки для удаления? я пока не буду удалять, чтобы заново не сканировать...
Nimur, удалите все,кроме
c:\miranda im pilot pack 7.5.3\msvcp100.dll (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\msvcp100.dll (Malware.Packer.Gen) -> No action taken.
Пролечился МВАМ.
Вот логи АВЗ и RSIT
блин, c:\WINDOWS\system32\msvcp100.dll (Malware.Packer.Gen) -> No action taken. уже удалил... это не смертельно?
это не смертельно? »
Нет не смертельно)))
В предоставленных логах вирусной активности нет. Установите IE8 даже если не пользуетесь!
Деинсталлируйте ComboFix:нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg
Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up
Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Скачайте ATF Cleaner (http://translate.google.ru/translate?hl=ru&sl=en&u=http://www.atribune.org/index.php%3Foption%3Dcom_content%26task%3Dview%26id%3D25%26Itemid%3D25&ei=3UHtTIGiKYGYOqry0JoB&sa=X&oi=translate&ct=result&resnum=1&ved=0CBwQ7gEwAA&prev=/search%3Fq%3DATF%2BCleaner%26hl%3Dru%26newwindow%3D1%26sa%3DG) , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.
Выполнил! Спасибо вам ребята! Не знаю как выражается благодарность на фашем форуме, плюсов я не увидел, так что всем огромное человеческое спасибо!
iskander-k
08-02-2011, 08:41
Выполнил! Спасибо вам ребята! Не знаю как выражается благодарность на фашем форуме, плюсов я не увидел, так что всем огромное человеческое спасибо! »
Под каждым сообщением есть Ссылка " Полезное сообщение " -это и есть плюсик человеку который оказывал вам помощь и его сообщение оказалось вам полезным.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC