симптомы похожие на [url]http://virusinfo.info/showthread.php?t=29310[/url]
Printable View
симптомы похожие на [url]http://virusinfo.info/showthread.php?t=29310[/url]
[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.
[COLOR="Red"]
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
[/COLOR]
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{307F8E49-D35D-4039-9B66-665BA616A77D}: NameServer = 85.255.114.195,85.255.112.96
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\DRIVERS\cv2k1.sys','');
QuarantineFile('D:\WIN2003\system32\spoolsv.exe','');
QuarantineFile('D:\WIN2003\system32\dllcache\spoolsv.exe','');
QuarantineFile(' D:\WINDOWS\system32\winlogon.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
[QUOTE]- Не выключено системное восстановление.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.[/QUOTE]
у вас сами такие соообщения формируются?
системное востановление выключено.
первый раз когда запускал стандартные скрипты Интернет Эксплорер был выключен, потом запустил Интернет Эксплорер и заново выполнил скрипты
[QUOTE=Ferroks;277663]у вас сами такие соообщения формируются?[/QUOTE]
Это в логах АВЗ видно. Насчет системного восстановления - был не прав, сорри :).
[QUOTE=Rene-gad;277664]Это в логах АВЗ видно.[/QUOTE]
в какой строчке показано что востановление системы не выключено?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[b]Rene-gad[/b]
в логах rsit Интернет Эксплорер запушен, сразуже после выполнения скриптов АВЗ, запустил rsit, странно как то что в АВЗ его нет.
[QUOTE=Ferroks;277667]в какой строчке показано что востановление системы не выключено?[/QUOTE]Хлопушка Дубль 2: Насчет системного восстановления - был не прав, сорри :).
[QUOTE=Ferroks;277667]
в логах rsit Интернет Эксплорер запушен, сразуже после выполнения скриптов АВЗ[/QUOTE]Его нужно запускать [B]во время выполнения [/B]скриптов, а не [B]после [/B]них. Перечитайте правила, плиз. :)
[QUOTE=Rene-gad;277670]Хлопушка Дубль 2: Насчет системного восстановления - был не прав, сорри :).[/QUOTE] я не наезжаю, просто как то странно, я его запускал до выполнения скриптов, как щас.
Результат загрузки
Файл сохранён как 080901_035332_virus_48bbad8ccc52b.zip
Размер файла 2785338
MD5 7f9a1c2bcd6261083bfbb410b80d3a27
Файл закачан, спасибо!
А новые логи [B]сейчас[/B] не нужны - мы же ничего не удаляли. Нужно подождать ответа аналитиков.
Зайдите через пару часов и напомните о себе.
[QUOTE=Rene-gad;277706]Зайдите через пару часов и напомните о себе.[/QUOTE]
напоминаю
[QUOTE=Ferroks;277797]напоминаю[/QUOTE]Еще никаких новостей. :)
напомню еще разок
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
забыл сказать что у меня winlogon.exe изменен, чтоб можно было подключаться через RDP, неограниченному числу юзеров.
Еще никаких новостей. :(
напомню еще разок
[QUOTE=Ferroks;278345]напомню еще разок[/QUOTE]Спят они там, что ли >:(
Извините за неудобства, закачайте карантин еще раз, плиз.
Спасибо.
Результат загрузки
Файл сохранён как 080902_075827_virus_48bd3873b02e5.zip
Размер файла 2785338
MD5 7f9a1c2bcd6261083bfbb410b80d3a27
Файл закачан, спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
может для надежности, еще разок загрузить карантин. :)
Выполните скрипт
[CODE]begin
clearquarantine;
end.[/CODE]
Файлы
[CODE]D:\WINDOWS\system32\DRIVERS\cv2k1.sys
D:\WIN2003\system32\spoolsv.exe
D:\WIN2003\system32\dllcache\spoolsv.exe
D:\WINDOWS\system32\winlogon.exe[/CODE]
пришлите по приложениям 2 и 3 правил.
выполнение приложения 2 правил:
[CODE]Процесс добавления файлов запущен
Файл D:\WIN2003\system32\spoolsv.exe добавлен в карантин
Файл D:\WIN2003\system32\dllcache\spoolsv.exe добавлен в карантин
Файл D:\WINDOWS\system32\winlogon.exe добавлен в карантин
Процесс добавления файлов завершен[/CODE]
этот файл [CODE]D:\WINDOWS\system32\DRIVERS\cv2k1.sys[/CODE] не добавился
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
этот файл вообще отсутствует, я его не удалял, однозначно полтергейст
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
Результат загрузки
Файл сохранён как 080902_101713_virus_48bd58f9314f3.zip
Размер файла 352847
MD5 9cf0a3da08757bea339b31880a7cfa88
Файл закачан, спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 37 минут[/I][/B][/color][/size]
up
[size="1"][color="#666686"][B][I]Добавлено через 11 часов 19 минут[/I][/B][/color][/size]
up
Присланные файлы чистые.
Чистые???
Ахренеть, а че мне тогда опера когда я адрес не прафильно ввожу, она мне пишет интернет эксплорер не может отобразить страницу???
и не открывается [url]http://download.microsoft.com/???[/url]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
сорь, ша проверил все открывется и опера ничего не говорит про эксплорер, я ничего не делал, только в домен вошел и все.
новые логи посмотрите? а то комп с первого раза не грузится.
Так давайте логи. И более развёрнутое описание проблемы.
Включаю комп, после окна приветствия появляется картинка рабочего стола, проходит около 20 минут все еще показывается только картика рабочего стола, перезагружаю комп, жду опять, проходит около 5 минут, загрузился, и там постоянно, время показывания картинки рабочего стола разное, от "чуть-чуть" до "долго"
Там у Вас должен был карантин образоваться с сегодняшней датой. Закачайте его, плиз, если еще не закачали.
Результат загрузки
Файл сохранён как 080906_060146_virus_48c2631a38c89.zip
Размер файла 5467202
MD5 9cb27425d55ecb9847f5805aa4aa0210
Файл закачан, спасибо!
up
Почему Вы не очистили карантин Др.Веб? Теперь Вирлаб обрабатывает закарантиненные Др. Вебом файлы :)
Очистите, повторите логи от. п.10 правил.
[QUOTE=Rene-gad;280458]Почему Вы не очистили карантин Др.Веб?[/QUOTE]вдруг там что-нибудь нужное! :)
вместо HijackThis rsit можно использовать?
[QUOTE=Ferroks;280710]вместо HijackThis rsit можно использовать?[/QUOTE]Если хотите - bitte schoen :) А он Хайджек на рабочий стол распаковывает и там же лог создает :)
логи
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\DRIVERS\cv2k1.sys','');
DeleteService('CV2K1');
DeleteFile('D:\WINDOWS\system32\DRIVERS\cv2k1.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('CV2K1');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Результат загрузки
Файл сохранён как 080908_055908_virus_48c5057c20b46.zip
Размер файла 3396690
MD5 96c114dbff57a90dfa0e0bb1d0d7a64b
Файл закачан, спасибо!
[b]CV2K1[/b], [b]cv2k1.sys[/b] - что это такое? cv2k1.sys - такой файл я не нашел
1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. АВЗ, меню AVZPM, активировать
4. Перегрузить систему.
5. Повторить логи АВЗ.
cv2k1.sys - это от CommView Network Monitor, такую прогу я ставил, видать от нее какато хрень осталась.
[size="1"][color="#666686"][B][I]Добавлено через 45 секунд[/I][/B][/color][/size]
[QUOTE=Rene-gad;280769]1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. АВЗ, меню AVZPM, активировать
4. Перегрузить систему.
5. Повторить логи АВЗ.[/QUOTE]
это для чего?
[QUOTE]3. АВЗ, меню AVZPM, активировать
4. Перегрузить систему.
5. Повторить логи АВЗ.[/QUOTE]
эксплорер запускать надо?
[QUOTE=Ferroks;280770]cv2k1.sys - это от CommView Network Monitor, такую прогу я ставил, видать от нее какато хрень осталась.[/QUOTE]
CV2K1.SYS is Potentially Dangerous Tool CommView Remote Agent [url]http://www.greatis.com/appdata/d/c/cv2k1.sys.htm[/url]
[QUOTE]это для чего?[/QUOTE]
Драйвер расширенного мониторинга, есть маскировка процесса.
[QUOTE=Ferroks;280770]
эксплорер запускать надо?[/QUOTE]как в правилах стоит :)
логи
Не вижу ничего плохого - можете меня расстрелять... :O
тогда я просто переустановлю ОС
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
тему клоц