-
Junior Member
- Вес репутации
- 51
Не запускается AVZ, NOD32 не обновляется
Не запускается AVZ, NOD32 не обновляется, не дает скачивать с сайтов антивируса что-либо... CureIt как бы начинает проверять но меньше чем через секунду вылетает окно проверка завершена - вирусов не обнаружено. Пожалуйста помогите побороть эту нечисть.
PS: Логи сделаны полиморфным AVZ
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: FlashGetBHO - {b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - C:\Documents and Settings\TIK26\Application Data\FlashGetBHO\FlashGetBHO3.dll (file missing)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.4.1.10.dll/206 (file missing)
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\Temp\hve.old','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Скрипты выполнил - все без изменений
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\hve.old');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM.
Добавлено через 40 секунд
- попробуйте сделать логи обычным AVZ
Последний раз редактировалось polword; 13.04.2010 в 10:13.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
AVZ запустился NOD32 обновился
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006005.dll ','');
QuarantineFile('C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006032.dll','');
QuarantineFile('C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006069.dll','');
QuarantineFile('C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0008113.sys','');
QuarantineFile('C:\temp\учебники\кролики\ebook.exe','');
QuarantineFile('C:\PF\Internet Explorer\svcnost.exe','');
QuarantineFile('C:\PF\Internet Explorer\svcnost.exe_','');
QuarantineFile('C:\PF\SBRunScr\SBRunScr.exe','');
QuarantineFile('C:\PF\SBRunScr\Plugins\SBInformer.dll','');
QuarantineFile('C:\PF\SBRunScr\Plugins\SBJoke.dll','');
QuarantineFile('C:\D\Down\file.exe','');
QuarantineFile('C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006105.dll','');
QuarantineFile('C:\PF\WebMoney\WebMoney.exe','');
QuarantineFile('C:\PF\TCWL\Utilites\SFX Tool\Upack.exe ','');
QuarantineFile('C:\PF\TCWL\Utilites\WinUpack\Upack.exe','');
QuarantineFile('C:\Program Files\TCWL\Utilites\SFX Tool\Upack.exe','');
QuarantineFile('C:\Program Files\TCWL\Utilites\WinUpack\WinUpackE.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Добавлено через 3 минуты
удалить в MBAM
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006005.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006032.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006057.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006069.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006105.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006108.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006042.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007062.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007063.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007355.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007391.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007855.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007856.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007857.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007859.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007860.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007862.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007863.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007864.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007866.dll (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0008113.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0007865.dll (Malware.Packer.Gen) -> No action taken.
C:\PF\Internet Explorer\svcnost.exe (Trojan.Agent) -> No action taken.
C:\PF\Internet Explorer\svcnost.exe_ (Trojan.Agent) -> No action taken.
Последний раз редактировалось polword; 13.04.2010 в 12:04.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
файл сгенерился, НОД при выполнении скрипта ругался на вирусы
карантин отправил
в MBAM удалил
Последний раз редактировалось MURZ; 13.04.2010 в 12:25.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\temp\учебники\кролики\ebook.exe');
DeleteFile('C:\D\Down\file.exe');
DeleteFile('C:\PF\SBRunScr\SBRunScr.exe');
DeleteFile('C:\PF\SBRunScr\Plugins\SBInformer.dll');
DeleteFile('C:\PF\SBRunScr\Plugins\SBJoke.dll');
DeleteFileMask('C:\PF\SBRunScr', '*.*', true);
DeleteDirectory('C:\PF\SBRunScr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи virusinfo_syscheck.zip и MBAM;
-
-
Junior Member
- Вес репутации
- 51
-
удалите в MBAM
Код:
C:\D\temp\учебники\кролики\ebook.exe (Malware.Packer) -> No action taken.
от этих кейгенов избавтесь
Код:
C:\temp\EZB.Systems.UltraISO.Premium.Edition.v9.3.3.2685.Multilingual.Retail.Incl.Keymaker-ZWT\Keygen\keygen.exe
C:\The Bat! Professional Edition 4.2.4 Final RU\CRCK\KGN\keygen.exe (Trojan.Agent.CK)
C:\D\temp\EZB.Systems.UltraISO.Premium.Edition.v9.3.3.2685.Multilingual.Retail.Incl.Keymaker-ZWT\Keygen\keygen.exe (Trojan.Agent.CK)
Добавлено через 1 минуту
Что с проблемой?
Последний раз редактировалось polword; 13.04.2010 в 13:51.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
удалил ебук и кейгены
Спасибо огромное! Все вроде работат AVZ, NOD, CureIt...
-
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Обновите Java .
-
-
Junior Member
- Вес репутации
- 51
Ок. Спасибо! А что это было?
-
C:\PF\Internet Explorer\svcnost.exe - Trojan-Downloader.Win32.Cryptic.of(ЛК)
C:\System Volume Information\_restore{D623EDB4-A924-41E5-ABD7-2131F6E0CDB5}\RP1\A0006105.dll - Trojan-Downloader.Win32.Piker.aie(ЛК)
и несколько других
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\d\down\file.exe - Trojan.Win32.Agent2.cqfu ( DrWEB: Trojan.PWS.Webmonier.337 )
- c:\pf\internet explorer\svcnost.exe_ - Trojan-Downloader.Win32.Cryptic.of ( DrWEB: Trojan.Siggen.37577, BitDefender: Trojan.Generic.3256303, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\system volume information\_restore{d623edb4-a924-41e5-abd7-2131f6e0cdb5}\rp1\a0006105.dll - Trojan-Downloader.Win32.Piker.aie ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.11, AVAST4: Win32:Malware-gen )
- c:\windows\temp\hve.old - Trojan-PSW.Win32.Kates.eq ( AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-