Добрый вечер, суть проблемы Get Accelerator, логи прилогаю.
Printable View
Добрый вечер, суть проблемы Get Accelerator, логи прилогаю.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\RECYCLER\S-1-5-21-4650977894-5898911884-380271843-3942\hdav.exe,explorer.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\jsrfmett.SYS','');
QuarantineFile('C:\Documents and Settings\ADMIN\Cookies\userlib.dll','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\Documents and Settings\ADMIN\Cookies\userlib.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\jsrfmett.SYS');
DeleteFile('C:\RECYCLER\S-1-5-21-4650977894-5898911884-380271843-3942\hdav.exe,explorer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=61158[/url]
3. Повторите лог [B]virusinfo_syscheck.[/B]
[COLOR=black][FONT=Verdana]прилагаю запрошенный карантин и лог, проблема решена спасибо![/FONT][/COLOR]
[SIZE=1]Файл сохранён как[/SIZE][SIZE=1]091124_201606_quarantine_4b0c14d6295b1.zip[/SIZE][SIZE=1]Размер файла[/SIZE][SIZE=1]90947[/SIZE][SIZE=1]MD5[/SIZE][SIZE=1]96d4b30aaa8c8c69caa4d42ec82eb036[/SIZE]
Такой лог сделайте [url]http://virusinfo.info/showthread.php?t=40118[/url]
вот лог, что вы запрашивали...
Дело плохо...
[URL="http://virusinfo.info/showthread.php?t=40118"]Выполните в Gmer:[/URL]
[CODE]kekq0w4k.exe -del service kbiwkmiuwivnnq
kekq0w4k.exe -del file "c:\windows\system32\drivers\kbiwkmweahsthp.sys"
kekq0w4k.exe -del file "c:\windows\system32\kbiwkmfyabwwxg.dll"
kekq0w4k.exe -del file "c:\windows\system32\kbiwkmirxncbed.dat"
kekq0w4k.exe -del file "c:\windows\system32\kbiwkmbwrqpgpm.dll"
kekq0w4k.exe -del file "c:\windows\system32\kbiwkmyktuqdqh.dat"
kekq0w4k.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kbiwkmiuwivnnq"
kekq0w4k.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kbiwkmiuwivnnq"
kekq0w4k.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\kbiwkmiuwivnnq"
kekq0w4k.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\kbiwkmiuwivnnq"
kekq0w4k.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\kbiwkmiuwivnnq"
kekq0w4k.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\kbiwkmiuwivnnq"
kekq0w4k.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmiuwivnnq"
kekq0w4k.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\kbiwkmiuwivnnq"
kekq0w4k.exe -reboot[/CODE]
Повторите лог.
[QUOTE=Aleksandra;516044]Дело плохо...[/QUOTE]
звучит не особо обнадеживающе :>...
[QUOTE=Aleksandra;516044]Повторите лог.[/QUOTE]
вот, лог повторно ...
[QUOTE=eclipse_red;516180]звучит не особо обнадеживающе :>...
[/QUOTE]
Все поправимо. :)
[QUOTE=eclipse_red;516180]вот, лог повторно ...[/QUOTE]
Теперь пролечитесь с помощью Live CD Vba32 Rescue [url]http://virusinfo.info/showpost.php?p=433671&postcount=3[/url] Он заменит в atapi.sys точку входа на оригинальную. После приложите лог работы Live CD и Gmer.
[QUOTE=Aleksandra;516187]
Теперь пролечитесь с помощью Live CD Vba32 Rescue....[/QUOTE]
Сделал. Вот только, небольшая проблемка... лог Vba32 весит 11мб. :(, это в архиве.. а лог Gmer прикрепил. Может какой другой способ есть, как лог - Vba32 выслать ??
Залейте на какой-нибудь файлообменник, а ссылку сюда. Я хотела взглянуть на лог работы Live CD. Спасибо.
Сделано, вот ссылка: _http://upload.com.ua/get/901190058/
Пасс: как и для большенства архивов для вашего ресурса.
Одна очень интерестная деталь, после процедуры с Live CD Vba32 Rescue, стал довольно долгий отклик.. при опросе и загрузке оборудования. Я про тот момент, когда эксплорер уже запустился и ярлыки появились .. на раб. столе, но все ещё не доступны. сет.карта и прочее.. так вот .. этот периуд при загрузке обычно длился 10 -15 сек. НО вот уже 3й раз ребутнул.. комп и успеваю покурить сходить за это время. Вопрос: есть ли, причины для беспокойства? :>
Ничего зловредного в логах нет.
[QUOTE=eclipse_red;517114]Сделано, вот ссылка: _http://upload.com.ua/get/901190058/
Пасс: как и для большенства архивов для вашего ресурса.[/QUOTE]
Хорошо, я смогу его скачать и посмотреть ближе к вечеру.
[QUOTE=eclipse_red;517114]после процедуры с Live CD Vba32 Rescue, стал довольно долгий отклик.. при опросе и загрузке оборудования.
[/QUOTE]
Возможно, системе не нравится вылеченный вариант драйвера. Пришлите мне его на aleksandra.sedakova[antispam]gmail.com, а сам драйвер замените на оригинальный из дистрибутива с помощью Live CD Vba32 Rescue.
[QUOTE=eclipse_red;517114]есть ли, причины для беспокойства? :>
[/QUOTE]
Причин для беспокойства нет. Я сделала все что могла. Попробуйте заменить драйвер и отпишитесь о результатах. Спасибо.
Прошу обратить внимание на новые логи, переодический стал слетать IE, причем процесс запуска активен но окна нет. При повторном запуске активирует второй, третий.... процесс IE. В чем может быть проблема ?
Выполните в AVZ скрипт из файла [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл c:\avz_log.txt
Вот лог, что вы запрашивали.
Посмотрите, в полученном файле указано, что на компьютере не установленны патчи против эксплойтов, которые срабатывают именно через Internet Explorer.
[QUOTE=AndreyKa;520063]Посмотрите, в полученном файле указано...[/QUOTE]
Добрый вечер, мои действия ?
[COLOR=black][FONT=Verdana]P.S. Позволил себе просканировать, с помощью МБАМ, лог интересует?? Действий по окончанию проверки, не предпринимал ни каких, только просканил.[/FONT][/COLOR]
2 P.S. Скачал и установил все имеющиеся обновления, с Майкрософта. Это решит проблему??
[QUOTE='eclipse_red;520215']Позволил себе просканировать, с помощью МБАМ, лог интересует?? [/QUOTE]
Меня не очень, но раз есть, прикладывайте.[QUOTE='eclipse_red;520215']Скачал и установил все имеющиеся обновления, с Майкрософта. Это решит проблему?? [/QUOTE]Об этом вы нам раскажите.
[QUOTE=AndreyKa;520220]Об этом вы нам раскажите.[/QUOTE]
[COLOR=black][FONT=Verdana]У меня единственный момент.. жалоба на то, что стало вылетать из игры, переустановка приложения не дала результатов. вылеты начались с того момента как отработал с Live CD Vba32 Rescue. Со слов братишки, раньше такого не было. Причина другого побочного эффекта описана в постах с Александрой. Я в отношении долгого опроса при старте Windows.[/FONT][/COLOR][COLOR=black][FONT=Verdana] Касаемо остального, я вообще не спец в этом, но после установки всех обновлений, визуально лишь почувствовал разницу в загрузке страничек в IE, стало быстрее грузить. Всё остальное вроде как, по прежнему.[/FONT][/COLOR]
P.S. Лог прикрепил, я ознакомился что у данного програмного продукта, частые сбои и не всегда, коректное выявление "проблем". Но может, что то привлечет ваше внимание..
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rotscxhxwbwuyr.dll','');
DeleteFile('C:\WINDOWS\system32\rotscxhxwbwuyr.dll');
QuarantineFile('C:\WINDOWS\system32\MRS.exe','');
DeleteFile('C:\WINDOWS\system32\MRS.exe');
QuarantineFile('C:\WINDOWS\system32\drivers\rotscxpxuedbvq.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\rotscxpxuedbvq.sys');
QuarantineFile('C:\WINDOWS\system32\tdlcmd.dll','');
DeleteFile('C:\WINDOWS\system32\tdlcmd.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражено файлов:
C:\Documents and Settings\ADMIN\Application Data\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\VBARESCUE\mnt\sda5\1\Новая папка\Virus Removal Tool\avz4\Infected\2009-04-22\avz00002.dta (Spyware.OnlineGames) -> No action taken.
C:\VBARESCUE\mnt\sda5\1\Новая папка\Virus Removal Tool\avz4\Infected\2009-04-22\avz00003.dta (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\tdlcmd.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\WINDOWS\system32\drivers\rotscxpxuedbvq.sys (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\MRS.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\rotscxbcjpwtpq.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\rotscxbqbuyovn.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\rotscxhxwbwuyr.dll (Rootkit.TDSS) -> No action taken.[/CODE]
Сделайте новые логи
[QUOTE=thyrex;520394]Выполните скрипт в AVZ... [/QUOTE]
сделано!
[QUOTE=thyrex;520394]Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR=red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы[/QUOTE]
[B][FONT=Times New Roman][SIZE=2]Результат загрузки[/SIZE][/FONT][/B]
[FONT=Times New Roman][SIZE=2]Файл сохранён как[/SIZE][/FONT][FONT=Times New Roman][SIZE=2]091130_011711_2009-11-29_4b12f2e7d5178.zip[/SIZE][/FONT][FONT=Times New Roman][SIZE=2]Размер файла[/SIZE][/FONT][FONT=Times New Roman][SIZE=2]599865[/SIZE][/FONT][FONT=Times New Roman][SIZE=2]MD5[/SIZE][/FONT][FONT=Times New Roman][SIZE=2]d72efe53e7051505a7ec3dbe58e070b2[/SIZE][/FONT][B][FONT=Times New Roman][SIZE=2]Файл закачан, спасибо![/SIZE][/FONT][/B]
[QUOTE=thyrex;520394][URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[/QUOTE]
Выполнил.
[QUOTE=thyrex;520394]Сделайте новые логи[/QUOTE]
Лог MBAM? Если его, то вот :
В карантине TDSS
Что сейчас с проблемой?
проблема в силе..(кидает из приложения(игры)) теперь постоянно слетает установленное разрешение экрана и частота на: 1024 * 768, 60 Гц. Хотя постоянно стояло 1280*1024, 75Гц. приходиться постоянно при входе в WIN исправлять (может конечно, это не относитьс к делу).
P.S. Что делать с файлами которые копировал в карантин Live CD Vba32, у меня каспер постоянно возмущаеться при запуске. (Обнаруженно вредоносное ПО, меры: ) и путь C:\VBARESCUE\mnt, ?
Комментарии будут ??
Карантин VBA можете удалить
Возможно, проблема с видеокартой
[QUOTE=thyrex;522080]Карантин VBA можете удалить
Возможно, проблема с видеокартой[/QUOTE]
Может проделать повторную процедуру AVZ, описанную в Правилах?
Если проблемы с видеокартой, AVZ здесь не поможет
Сделайте, только базы AVZ обновите.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\jsrfmett.sys - [B]Trojan-Ransom.Win32.Agent.hb[/B] ( DrWEB: Trojan.Winlock.495, NOD32: Win32/Sirefef.A trojan )[*] c:\windows\system32\tdlcmd.dll - [B]Packed.Win32.TDSS.z[/B] ( BitDefender: Trojan.Generic.2757320, AVAST4: Win32:Alureon-EL [Rtk] )[/LIST][/LIST]