опять злобные вирусы. посмотрите плиз логи

**pcsoft** · 08.04.2009, 17:05

постоянно какой-то вирус
Backdoor.Win32.KeyStart.bz в C:\WINDOWS\Temp

часто закрываеться opera (версия 9.6)

нет доступа к некоторым сайтам

загрузка безопасного режимаься прерывается на файле sptd.sys

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 08.04.2009, 17:32

А у Вас Кидо, кроме всего прочего живет.
Профиксить:

Код:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\pxdik.dll');
QuarantineFile('C:\WINDOWS\system32\pxdik.dll','');

 QuarantineFile('digiwet.dll','');
 QuarantineFile('C:\WINDOWS\system32\svcnost.exe,','');
 QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
 DeleteService('systemntmi');
 QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
 QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
 QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askPopStp.dll','');
 QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askPopStp.dll');
 DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
 DeleteFile('C:\WINDOWS\system32\crypts.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
 DeleteFile('C:\WINDOWS\system32\svcnost.exe,');
 DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать новые логи.
Загрузить карантин.

**pcsoft** · 08.04.2009, 18:32

Сообщение от PavelA

А у Вас Кидо, кроме всего прочего живет.

надеюсь он сейчас умрет

новые логи и карантин

**pcsoft** · 08.04.2009, 20:44

Сообщение от pcsoft

нет доступа к некоторым сайтам

вот уже есть прогресс-могу зайти на сайты каспера и авиры! СПАСИБО!

Добавлено через 24 минуты

Сообщение от pcsoft

новые логи и карантин

от волнения прицепил карантин вместе с логами-уже исправил=выложил отдельно. прошу прощения

**light59** · 08.04.2009, 21:09

virus.zip из темы убрать!
Убирать в "Мой кабинет" - "Вложения".

Добавлено через 4 минуты

"Пофиксите" в HijackThis

Код:

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - C:\PROGRA~1\FieryAds\FieryAds.dll (file missing)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)

Kidokiller нашёл что-нибудь?

Установите Adobe Reader 9.1 или деинсталлируйте старый.
Установите все обновления безопасности, вышедшие после SP3.
Устанвоите IE8.

**pcsoft** · 08.04.2009, 21:48

Сообщение от light59

Установите все обновления безопасности, вышедшие после SP3

извините а можно подробнее

**light59** · 08.04.2009, 21:51

В Автоматическом обновлении "Уведомлять, но не загружать обновления".
Там потом выберите обновления безопасности.

**pcsoft** · 08.04.2009, 22:17

Сообщение от light59

Kidokiller нашёл что-нибудь?

насколько я понял килер ничего не нашел
может попробовать AVPTool запустить?

**Гриша** · 08.04.2009, 22:36

Проверьтесь, хуже не будет...

**pcsoft** · 09.04.2009, 10:27

Сообщение от pcsoft

насколько я понял килер ничего не нашел
может попробовать AVPTool запустить?

AVPTool нашел несколько тварей в том числе и КИДО, вроде удалил их попожже выложу логи

**light59** · 09.04.2009, 10:31

Обновления ставьте...
Установите надёжный пароль на учётку Администратор
Отключите автозапуск со съемных носителей. (В "Чаво" написано как).
Очистите все темп-папки

**pcsoft** · 09.04.2009, 13:26

новые логи

**Гриша** · 09.04.2009, 13:28

Ничего плохого...

**pcsoft** · 11.04.2009, 13:00

пропал звук и соединение с интернетом (после перезагрузки все ОК)
запустил с утра Авиру-опять какие-то твари
вот новые логи

upd: P.S. а "безопасный режим" можно вернуть?

**Rene-gad** · 11.04.2009, 13:24

Сообщение от pcsoft

пропал звук и соединение с интернетом (после перезагрузки все ОК)

Так что СЕЙЧАС?

Сообщение от pcsoft

запустил с утра Авиру-опять какие-то твари

Запустил - значит на сканирование дисков? Где и что найдено?

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(10);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

Повторите логи

**pcsoft** · 11.04.2009, 14:36

Сообщение от Rene-gad

Так что СЕЙЧАС?

прошу простить за неясность мысли-полночи не спал (сейчас все работает)

Сообщение от Rene-gad

Запустил - значит на сканирование дисков? Где и что найдено?

да просканировал

4/11/2009 10:43 [Scanner] Malware found
The file 'C:\WINDOWS\I386\SVCPACK\Logo.exe'
contained a virus or unwanted program 'TR/Agent.221001.A' [trojan]
Action(s) taken:
A backup was created as '4a474a8d.qua' ( QUARANTINE ).
Attempting to perform action using the ARK lib.
A backup was created as '4a474a8e.qua' ( QUARANTINE ).

4/11/2009 10:33 [Scanner] Malware found
The file 'C:\Documents and Settings\All Users\Application
Data\Microsoft\bits.dll'
contained a virus or unwanted program 'TR/Downloader.Gen' [trojan]
Action(s) taken:
A backup was created as '4a54484e.qua' ( QUARANTINE ).
Attempting to perform action using the ARK lib.
A backup was created as '4804a367.qua' ( QUARANTINE ).

4/11/2009 10:32 [Guard] Malware found
Virus or unwanted program 'TR/Agent.221001.A [trojan]'
detected in file 'C:\WINDOWS\oemlogo.exe.
Action performed: Delete file

+ новые логи

**Rene-gad** · 11.04.2009, 15:20

Выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\I386\SVCPACK\Logo.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\bits.dll','');
QuarantineFile('C:\WINDOWS\oemlogo.exe','');
BC_ImportAll;
SetAVZPMStatus(false);
BC_Activate;
RebootWindows(true);
end.

Карантин пришлите по правилам.

**pcsoft** · 11.04.2009, 18:18

карантин закачал

**Rene-gad** · 11.04.2009, 19:14

C:\Documents and Settings\All Users\Application Data\Microsoft\bits.dll - не попал в карантин. Поищите и закачайте его вручную (приложение 3 правил)

**pcsoft** · 11.04.2009, 19:38

Сообщение от Rene-gad

C:\Documents and Settings\All Users\Application Data\Microsoft\bits.dll - не попал в карантин. Поищите и закачайте его вручную (приложение 3 правил)

на диске с этого файла не нашел

опять злобные вирусы. посмотрите плиз логи (заявка № 43463)

Опции темы

опять злобные вирусы. посмотрите плиз логи

Похожие темы

Посмотрите логи плиз

Посмотрите логи,плиз

Посмотрите плиз логи. Ли я все или нет.

опять троян, посмотрите плиз логи

Посмотрите Логи Плиз

Ваши права в разделе