Решена Не запускается AVZ (но запускатся полиморфный AVZ), HiJackThis, глючит Опера

Статус
В этой теме нельзя размещать новые ответы.

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
Баллы
381
#1
Компьютер долго загружается, не запускается AVZ, HijackThis, при запуске Оперы пишет, что отказано в доступе. Запустился полиморфный AVZ, прикладываю логи. Заранее спасибо!
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#2
Avast5 + Avira + Online Solutions= оставьте что-то одно. Ad-Aware - точно необходимо?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 SetServiceStart('aswArKrn', 4);
 SetServiceStart('ASFWHide', 4);
 QuarantineFile('D:\VK_grabber.exe','');
 QuarantineFile('C:\WINDOWS\system32\fqvrhy.exe','');
 QuarantineFile('C:\WINDOWS\system32\38a44fa0.exe','');
 QuarantineFile('C:\Documents and Settings\Егор\Application Data\Microsoft\Installer\{913A74A8-CDBA-11DB-B4DE-989A2C8B284C}\start.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\ASFWHide','');
 QuarantineFile('C:\WINDOWS\TEMP\aswArKrn.sys','');
 DeleteFile('C:\WINDOWS\TEMP\aswArKrn.sys');
 DeleteFile('C:\WINDOWS\TEMP\ASFWHide');
 DeleteFile('C:\WINDOWS\system32\38a44fa0.exe');
 DeleteFile('C:\WINDOWS\system32\fqvrhy.exe');
  DeleteService('aswArKrn');
  DeleteService('ASFWHide');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(20);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы.

Повторите логи.
 

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
Баллы
381
#3
akoK, спасибо! Выполнил все как вы написали, после выполнения скрипта стал запускаться AVZ. Карантин я отправил, выкладываю новые логи
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#4
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#5
38a44fa0.exe - Backdoor.Win32.Shiz.aah (trojan.packed.189)

Добавлено через 5 часов 54 минуты 25 секунд
Пришёл результат анализа в карантине обнаружено:

Trojan.MulDrop.64715, Trojan.PWS.Ibank.183
 

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
Баллы
381
#6
Выкладываю лог, сделанный ComboFix.
Как мне удалить эти трояны?
И нужно ли как то деинсталлипровать ComboFix?
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#7
Не спешите, все будет

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
C:\Program Files\Common Files\jqyrg4inedzz13m

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29796:TCP"=-
FileLook::
C:\Documents and Settings\Егор\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2Fcfscript.gif&hash=200d5b926df781f06021e7e303276cee

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

И сделайте лог OSAM
 

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
Баллы
381
#8
Выполнил все как вы написали, за исключением лога OSAM.
Что-то стало нехило кушать интернет трафик, передаются какие то данные.
 

Вложения

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
Баллы
483
#9
D:\mink.pif - известно, что это такое?

И вы в логе ComboFix ничего не удаляли?
 

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
Баллы
381
#10
D:\mink.pif - известно, что это такое?

И вы в логе ComboFix ничего не удаляли?
D:\mink.pif - это полиморфный авз
В логе ничего не удалял.
Вопрос еще раз повторю почему стало интернет траффик так не хило жрать?
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#11
Значит будем разбираться. Скачайте полную версию AVZ? обновите базы и повторите логи.
 

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
Баллы
381
#12
Выручайте! С компьютером что-то не так, я его выключил и ушел на работу, а когда пришел и включил - при загрузке выскочила ошибка system32\service.exe с кодом 1073741819, после этого он сам перезагружался. Загрузил компьютер я через последнюю удачную конфигурацию, но правда все ужасно тормозит. Боюсь уже выключать компьютер. Помогите пожалуйста!!
PS совсем случайно зашел в корзину, и корзина оказалась пустая, хотя я ничего не удалял!
AVZ опять не запускается, только полиморфный.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#13
Sinderyshkin, давайте лог полиморфной версии.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#15
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64a8b2d8.exe','');
 QuarantineFile('C:\WINDOWS\system32\181367e8.exe','');
 QuarantineFile('C:\WINDOWS\system32\bgoqtw.exe','');
 QuarantineFile('C:\WINDOWS\System32\lmsxsltsso.dll','');
 DeleteFile('C:\WINDOWS\System32\lmsxsltsso.dll');
 DeleteFile('C:\WINDOWS\system32\bgoqtw.exe');
 DeleteFile('C:\WINDOWS\system32\181367e8.exe');
 DeleteFile('C:\WINDOWS\system32\64a8b2d8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на адрес
proxy.php?image=http%3A%2F%2Fs55.radikal.ru%2Fi149%2F1009%2Fd2%2F1f7e3fa6de68.bmp&hash=0d24eeca87620dc27c92278d2ed4db48
, в названии темы укажите – ссылку на тему.

Сделайте новые логи (попробуйте обычным AVZ) + новый лог ComboFix
 
Последнее редактирование:

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
Баллы
381
#16
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64a8b2d8.exe','');
 QuarantineFile('C:\WINDOWS\system32\181367e8.exe','');
 QuarantineFile('C:\WINDOWS\system32\bgoqtw.exe','');
 QuarantineFile('C:\WINDOWS\System32\lmsxsltsso.dll','');
 DeleteFile('C:\WINDOWS\System32\lmsxsltsso.dll');
 DeleteFile('C:\WINDOWS\system32\bgoqtw.exe');
 DeleteFile('C:\WINDOWS\system32\181367e8.exe');
 DeleteFile('C:\WINDOWS\system32\64a8b2d8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на адрес
proxy.php?image=http%3A%2F%2Fs55.radikal.ru%2Fi149%2F1009%2Fd2%2F1f7e3fa6de68.bmp&hash=0d24eeca87620dc27c92278d2ed4db48
, в названии темы укажите – ссылку на тему.

Сделайте новые логи (попробуйте обычным AVZ) + новый лог ComboFix
Скрипт я выполнил, архив с карантином отправил. AVZ вновь стал запускаться и компьютер перестал тормозить. На диске d появилась папка RECYCLER после выполнения лога combofix, и теперь все, что удаляю помещается почему-то в эту папку, а не в корзину что на рабочем столе. Как сделать, чтобы было как раньше?
Выкладываю новые логи
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#17
Acrobat 7.0 => необходимо обновить до последней версии или деинсталировать.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\program files\Common Files\jqyrg4inedzz13m
Driver::

Folder::
c:\program files\Common Files\7480f6a6
Registry::

FileLook::
D:\VK_grabber.exe
c:\windows\Installer\15328a.msi
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2Fcfscript.gif&hash=200d5b926df781f06021e7e303276cee

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#19
c:\windows\Installer\15328a.msi - проверьте на http://www.virustotal.com


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29796:TCP"=-
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2Fcfscript.gif&hash=200d5b926df781f06021e7e303276cee

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Добавлено через 1 минуту 17 секунд
После лечения обязательно смените все важные пароли.
 
/div>
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу