Посмотрите логи!

Printable View

02.11.2009, 08:11
Gorski

Посмотрите логи!

В один прекрасный момент компьютер дальше окна приветствия не загружался. После кое-какой проверки CureIt (кстати до конца ни разу проверка не дошла, компьютер сам перезагружался), получилось загрузить комп. Ярлык для локального диска D:/ изменился (программа с неизвестным расширением). Помогите удалить заразу. Логи согласно правилам прилагаю.

Извините логи не зацепил.
02.11.2009, 09:45
миднайт

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\setup.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\wt\webdriver\webdriver.dll','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\DOCUME~1\F942~1\APPLIC~1\Aldea\Aldea.dll','');
QuarantineFile('C:\Program Files\Save\Save.exe','');
QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{B8F88615-A49E-4443-A26F-E97379BE1B1A}');
DeleteFile('C:\Program Files\Save\Save.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WhenUSave');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Save');
DeleteFile('C:\DOCUME~1\F942~1\APPLIC~1\Aldea\Aldea.dll');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите файл quarantine.zip согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
D:\setup.exe - этот файл вам известен?
Как удалить бунжур - [url]http://virusinfo.info/showthread.php?t=27923&highlight=Bonjour[/url]
+Сделайте новые логи с обновленными базами avz
02.11.2009, 10:56
Gorski

D:/Setup.exe мне не известен. Карантин выслал. Bonjour удалил. Новые логи прилагаю. Кстати во время загрузки выскакивает окно "Savedump.exe не удалось найти компонент. Приложению не удалось запуститься, поскольку dbgeng.dll не был найден."
02.11.2009, 22:30
миднайт

Сделайте такой [url]http://virusinfo.info/showthread.php?t=58309[/url]
и такой лог [url]http://virusinfo.info/showthread.php?t=53070[/url]
03.11.2009, 07:39
Gorski

вот результаты проверки
03.11.2009, 14:56
thyrex

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL]
[CODE]Заражено ключей реестра:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenU) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenU) -> No action taken.

Заражено папок:
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
C:\Program Files\Save (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU (Adware.WhenU) -> No action taken.

Заражено файлов:
C:\Program Files\Save\ffext.mod (Adware.WhenU) -> No action taken.
C:\Program Files\Save\save.db (Adware.WhenU) -> No action taken.
C:\Program Files\Save\save.htm (Adware.WhenU) -> No action taken.
C:\Program Files\Save\SaveUninst.exe (Adware.WhenU) -> No action taken.
C:\Program Files\Save\Saveupdate.exe (Adware.WhenU) -> No action taken.
C:\Program Files\Save\store.db (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU\Customer Support.lnk (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU\Learn More About WhenU Save.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU\Learn More About WhenU SaveNow.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU\Uninstall Instructions.lnk (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU\WhenU.com Website.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.[/CODE]
03.11.2009, 18:24
Gorski

Сделал как посоветовали. При загрузке системы также появляется окно "Savedump.exe не удалось найти компонент. Приложению не удалось запуститься, поскольку dbgeng.dll не был найден.". Сделал новые логи. Что можно сделать?
03.11.2009, 18:38
V_Bond

dbgeng.dll скопируйте с другой системы в system32
03.11.2009, 19:28
Gorski

Файл dbgeng.dll скопировал, сообщение перестало появляться. А что с последними логами?
03.11.2009, 20:38
Rene-gad

[QUOTE]А что с последними логами?[/QUOTE]
WindTangent Вы ставили? Если Да - то ничего плохого.
Жалобы есть?
04.11.2009, 06:19
Gorski

Про WindTargent сказать ничего не могу, т.к. компьютер еще ребёнок-игроман юзает. Пока никаких неприятных проявлений нет. Понаблюдаю за "больным". Всем спасибо. Тему можно закрыть.
05.11.2009, 06:19
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]