я компьютером явно чтото не так, к примеру с рабочего стола неудаляются файлы и некоторое время размер жесткого диска плавал от одного значения к другому.
проверьте логи
я компьютером явно чтото не так, к примеру с рабочего стола неудаляются файлы и некоторое время размер жесткого диска плавал от одного значения к другому.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сделайте логи новой версией avz с обновлеными базами.
Paula rhei.
Поддержать проект можно тут
новые логи.
1.Профиксите в HijackThis
2. ОтключитеКод:R3 - URLSearchHook: (no name) - - (no file) O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing) O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\DOCUME~1\1DEF1~1.ACE\LOCALS~1\Temp\espE1FE.tmp',''); QuarantineFile('\\?\globalroot\systemroot\system32\zhl2pKN.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\vNEOCW9.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\nD3VoQw.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\c0GrVVP.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\LLuwesv.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\10NG04k.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\0qmrDmu.exe',''); QuarantineFile('C:\WINDOWS\system32\epm-po.dll',''); QuarantineFile('C:\WINDOWS\system32\XDva365.sys',''); DeleteService('XDva365'); QuarantineFile('C:\Documents and Settings\1.ACER-DF2C6C8BF2\Application Data\netprotocol.exe',''); DeleteService('Netprotocol'); DeleteFile('C:\Documents and Settings\1.ACER-DF2C6C8BF2\Application Data\netprotocol.exe'); DeleteFile('C:\WINDOWS\system32\XDva365.sys'); DeleteFile('\\?\globalroot\systemroot\system32\0qmrDmu.exe'); DeleteFile('\\?\globalroot\systemroot\system32\10NG04k.exe'); DeleteFile('\\?\globalroot\systemroot\system32\LLuwesv.exe'); DeleteFile('\\?\globalroot\systemroot\system32\c0GrVVP.exe'); DeleteFile('\\?\globalroot\systemroot\system32\nD3VoQw.exe'); DeleteFile('\\?\globalroot\systemroot\system32\vNEOCW9.exe'); DeleteFile('\\?\globalroot\systemroot\system32\zhl2pKN.exe'); DeleteFile('C:\DOCUME~1\1DEF1~1.ACE\LOCALS~1\Temp\espE1FE.tmp'); RegSearch('HKLM', '', 'espE1FE.tmp'); SaveLog(GetAVZDirectory + 'search.log'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл search.log из папки AVZ прикрепите к сообщению
новые логи.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\EBC67E61'); RegKeyDel('HKLM', 'SYSTEM\ControlSet006\Control\Print\Providers\EBC67E61'); RegKeyDel('HKLM', 'SYSTEM\ControlSet007\Control\Print\Providers\EBC67E61'); RegKeyDel('HKLM', 'SYSTEM\ControlSet008\Control\Print\Providers\EBC67E61'); DeleteFile('C:\DOCUME~1\1DEF1~1.ACE\LOCALS~1\Temp\espE1FE.tmp'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\WINDOWS\system32\vksaver.dll,C:\WINDOWS\system32\guard32.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
новые логи.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
а кроме обновления системы больше ничего не надо будет делать?
просто проблема все еще осталась, с рабочего стола нельзя удалить приложения, как например Dr.Web CureIt.
еще вызывает подозрение некоторые файлы, которые имеют прямой доступ к системе.эти файлы обнаружил авз при полной проверке, если надо будет то могу скинуть лог проверки.
Последний раз редактировалось MEGA-VOLT; 03.03.2011 в 16:54.
вчера вечером обнаружил что полностью пропал выход в интернет.
MEGA-VOLT, сделайте новый комплект логов.
+ Сделайте лог полного сканирования МВАМ
+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
новые логи.
Файл сохранён как110304_171936_virusinfo_files_ACER-DF2C6C8BF2_4d711f285466d.zip
Размер файла27899561
MD5cd427b130fb4629d7f04d9990e46804e
В AVZ выполните скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\1.ACER-DF2C6C8BF2\Desktop\ErrorSmart\ErrorSmart.exe',''); QuarantineFile('oegombfw.sys',''); QuarantineFile('c:\program files\common files\tm filepacker\fsshlext.dll',''); QuarantineFile('d:\Programs\tm filepacker\fsplit.exe',''); QuarantineFile('c:\U.exe',''); QuarantineFile('c:\documents and settings\all users\firefox.exe',''); QuarantineFile('c:\program files\mycentria\mycentriauninstall.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\oegombfw.sys',''); QuarantineFile('C:\WINDOWS\system32\oegombfw.sys',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\oegombfw.sys'); DeleteFile('C:\WINDOWS\system32\oegombfw.sys'); DeleteFile('C:\Documents and Settings\1.ACER-DF2C6C8BF2\Application Data\Microsoft\Installer\{91F39FC8-1782-4952-97C7-D15B41262119}\_16496df1.exe'); DeleteFile('C:\Documents and Settings\1.ACER-DF2C6C8BF2\Desktop\ErrorSmart\ErrorSmart.exe'); DeleteFileMask('C:\Documents and Settings\1.ACER-DF2C6C8BF2\Desktop\ErrorSmart', '*.*', true); DeleteDirectory('C:\Documents and Settings\1.ACER-DF2C6C8BF2\Desktop\ErrorSmart'); DeleteFileMask('c:\program files\mycentria', '*.*', true); DeleteDirectory('c:\program files\mycentria'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU',3,3,true); BC_Activate; RebootWindows(true); end.
После перезагрузки
quarantine.zip отправьте через [ul=http://support.kaspersky.ru/virlab/helpdesk.html]данную форму.[/urlКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 8 Мб, то карантин отправьте по адресу [email protected]
Полученный ответ сообщите здесь (с указанием номера KLAN)
Повторите лог virusinfo_syscure.zip и лог mbam
Paula rhei.
Поддержать проект можно тут
новые логи.
KLAN-117214545
Вредоносный код в файле не обнаружен.
- удалите в MBAM Все кроме этого
Код:Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Заражённые файлы: c:\documents and settings\1.acer-df2c6c8bf2\my documents\office 2007 rus\keygen\msoe2007kg.exe (RiskWare.Tool.CK) -> No action taken.
лог MBAM
а другие логи нужны будут?
Последний раз редактировалось MEGA-VOLT; 05.03.2011 в 23:30.
Что с проблемой?
Paula rhei.
Поддержать проект можно тут
с интернетом еще не до конца разобрался, возможно вирус при включенном интернете недает его отключить, из за этого приходится отключать непосредственно саму карту.
и все еще вызывают подозрения некоторые файлы которые имеют прямой доступ к системе.
о каких именно файлах речь?Сообщение от MEGA-VOLT
Paula rhei.
Поддержать проект можно тут
интересуют файлы с прямым чтением.
Уважаемый(ая) MEGA-VOLT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
