Решена Не запускается AVZ (но запускатся полиморфный AVZ), HiJackThis, глючит Опера

  • Автор темы Sinderyshkin
  • Дата начала
Статус
В этой теме нельзя размещать новые ответы.
S

Sinderyshkin

Активный пользователь
Сообщения
13
Реакции
0
Баллы
381
Компьютер долго загружается, не запускается AVZ, HijackThis, при запуске Оперы пишет, что отказано в доступе. Запустился полиморфный AVZ, прикладываю логи. Заранее спасибо!
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
Avast5 + Avira + Online Solutions= оставьте что-то одно. Ad-Aware - точно необходимо?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 SetServiceStart('aswArKrn', 4);
 SetServiceStart('ASFWHide', 4);
 QuarantineFile('D:\VK_grabber.exe','');
 QuarantineFile('C:\WINDOWS\system32\fqvrhy.exe','');
 QuarantineFile('C:\WINDOWS\system32\38a44fa0.exe','');
 QuarantineFile('C:\Documents and Settings\Егор\Application Data\Microsoft\Installer\{913A74A8-CDBA-11DB-B4DE-989A2C8B284C}\start.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\ASFWHide','');
 QuarantineFile('C:\WINDOWS\TEMP\aswArKrn.sys','');
 DeleteFile('C:\WINDOWS\TEMP\aswArKrn.sys');
 DeleteFile('C:\WINDOWS\TEMP\ASFWHide');
 DeleteFile('C:\WINDOWS\system32\38a44fa0.exe');
 DeleteFile('C:\WINDOWS\system32\fqvrhy.exe');
  DeleteService('aswArKrn');
  DeleteService('ASFWHide');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(20);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы.

Повторите логи.
 
S

Sinderyshkin

Активный пользователь
Сообщения
13
Реакции
0
Баллы
381
akoK, спасибо! Выполнил все как вы написали, после выполнения скрипта стал запускаться AVZ. Карантин я отправил, выкладываю новые логи
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 
akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
38a44fa0.exe - Backdoor.Win32.Shiz.aah (trojan.packed.189)

Добавлено через 5 часов 54 минуты 25 секунд
Пришёл результат анализа в карантине обнаружено:

Trojan.MulDrop.64715, Trojan.PWS.Ibank.183
 
S

Sinderyshkin

Активный пользователь
Сообщения
13
Реакции
0
Баллы
381
Выкладываю лог, сделанный ComboFix.
Как мне удалить эти трояны?
И нужно ли как то деинсталлипровать ComboFix?
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
Не спешите, все будет

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
C:\Program Files\Common Files\jqyrg4inedzz13m

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29796:TCP"=-
FileLook::
C:\Documents and Settings\Егор\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

И сделайте лог OSAM
 
S

Sinderyshkin

Активный пользователь
Сообщения
13
Реакции
0
Баллы
381
Выполнил все как вы написали, за исключением лога OSAM.
Что-то стало нехило кушать интернет трафик, передаются какие то данные.
 

Вложения

Т

ТроПа

Активный пользователь
Сообщения
391
Реакции
334
Баллы
483
D:\mink.pif - известно, что это такое?

И вы в логе ComboFix ничего не удаляли?
 
S

Sinderyshkin

Активный пользователь
Сообщения
13
Реакции
0
Баллы
381
D:\mink.pif - известно, что это такое?

И вы в логе ComboFix ничего не удаляли?
D:\mink.pif - это полиморфный авз
В логе ничего не удалял.
Вопрос еще раз повторю почему стало интернет траффик так не хило жрать?
 
akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
Значит будем разбираться. Скачайте полную версию AVZ? обновите базы и повторите логи.
 
S

Sinderyshkin

Активный пользователь
Сообщения
13
Реакции
0
Баллы
381
Выручайте! С компьютером что-то не так, я его выключил и ушел на работу, а когда пришел и включил - при загрузке выскочила ошибка system32\service.exe с кодом 1073741819, после этого он сам перезагружался. Загрузил компьютер я через последнюю удачную конфигурацию, но правда все ужасно тормозит. Боюсь уже выключать компьютер. Помогите пожалуйста!!
PS совсем случайно зашел в корзину, и корзина оказалась пустая, хотя я ничего не удалял!
AVZ опять не запускается, только полиморфный.
 
Последнее редактирование:
akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
Sinderyshkin, давайте лог полиморфной версии.
 
thyrex

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,453
Реакции
2,473
Баллы
593
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64a8b2d8.exe','');
 QuarantineFile('C:\WINDOWS\system32\181367e8.exe','');
 QuarantineFile('C:\WINDOWS\system32\bgoqtw.exe','');
 QuarantineFile('C:\WINDOWS\System32\lmsxsltsso.dll','');
 DeleteFile('C:\WINDOWS\System32\lmsxsltsso.dll');
 DeleteFile('C:\WINDOWS\system32\bgoqtw.exe');
 DeleteFile('C:\WINDOWS\system32\181367e8.exe');
 DeleteFile('C:\WINDOWS\system32\64a8b2d8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на адрес
, в названии темы укажите – ссылку на тему.

Сделайте новые логи (попробуйте обычным AVZ) + новый лог ComboFix
 
Последнее редактирование:
S

Sinderyshkin

Активный пользователь
Сообщения
13
Реакции
0
Баллы
381
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64a8b2d8.exe','');
 QuarantineFile('C:\WINDOWS\system32\181367e8.exe','');
 QuarantineFile('C:\WINDOWS\system32\bgoqtw.exe','');
 QuarantineFile('C:\WINDOWS\System32\lmsxsltsso.dll','');
 DeleteFile('C:\WINDOWS\System32\lmsxsltsso.dll');
 DeleteFile('C:\WINDOWS\system32\bgoqtw.exe');
 DeleteFile('C:\WINDOWS\system32\181367e8.exe');
 DeleteFile('C:\WINDOWS\system32\64a8b2d8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на адрес
, в названии темы укажите – ссылку на тему.

Сделайте новые логи (попробуйте обычным AVZ) + новый лог ComboFix
Скрипт я выполнил, архив с карантином отправил. AVZ вновь стал запускаться и компьютер перестал тормозить. На диске d появилась папка RECYCLER после выполнения лога combofix, и теперь все, что удаляю помещается почему-то в эту папку, а не в корзину что на рабочем столе. Как сделать, чтобы было как раньше?
Выкладываю новые логи
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
Acrobat 7.0 => необходимо обновить до последней версии или деинсталировать.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\program files\Common Files\jqyrg4inedzz13m
Driver::

Folder::
c:\program files\Common Files\7480f6a6
Registry::

FileLook::
D:\VK_grabber.exe
c:\windows\Installer\15328a.msi
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 
S

Sinderyshkin

Активный пользователь
Сообщения
13
Реакции
0
Баллы
381
новый лог
 

Вложения

  • 20.2 KB Просмотры: 1
akok

akok

Команда форума
Администратор
Сообщения
16,505
Реакции
13,118
Баллы
2,203
c:\windows\Installer\15328a.msi - проверьте на http://www.virustotal.com


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29796:TCP"=-
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Добавлено через 1 минуту 17 секунд
После лечения обязательно смените все важные пароли.
 
S

Sinderyshkin

Активный пользователь
Сообщения
13
Реакции
0
Баллы
381
новый лог
 

Вложения

  • 19.3 KB Просмотры: 3
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу