• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Не запускается AVZ (но запускатся полиморфный AVZ), HiJackThis, глючит Опера

Статус
В этой теме нельзя размещать новые ответы.

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
#1
Компьютер долго загружается, не запускается AVZ, HijackThis, при запуске Оперы пишет, что отказано в доступе. Запустился полиморфный AVZ, прикладываю логи. Заранее спасибо!
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,983
Симпатии
12,258
#2
Avast5 + Avira + Online Solutions= оставьте что-то одно. Ad-Aware - точно необходимо?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 SetServiceStart('aswArKrn', 4);
 SetServiceStart('ASFWHide', 4);
 QuarantineFile('D:\VK_grabber.exe','');
 QuarantineFile('C:\WINDOWS\system32\fqvrhy.exe','');
 QuarantineFile('C:\WINDOWS\system32\38a44fa0.exe','');
 QuarantineFile('C:\Documents and Settings\Егор\Application Data\Microsoft\Installer\{913A74A8-CDBA-11DB-B4DE-989A2C8B284C}\start.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\ASFWHide','');
 QuarantineFile('C:\WINDOWS\TEMP\aswArKrn.sys','');
 DeleteFile('C:\WINDOWS\TEMP\aswArKrn.sys');
 DeleteFile('C:\WINDOWS\TEMP\ASFWHide');
 DeleteFile('C:\WINDOWS\system32\38a44fa0.exe');
 DeleteFile('C:\WINDOWS\system32\fqvrhy.exe');
  DeleteService('aswArKrn');
  DeleteService('ASFWHide');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(20);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы.

Повторите логи.
 

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
#3
akoK, спасибо! Выполнил все как вы написали, после выполнения скрипта стал запускаться AVZ. Карантин я отправил, выкладываю новые логи
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,983
Симпатии
12,258
#4
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
 

akok

Команда форума
Администратор
Сообщения
14,983
Симпатии
12,258
#5
38a44fa0.exe - Backdoor.Win32.Shiz.aah (trojan.packed.189)

Добавлено через 5 часов 54 минуты 25 секунд
Пришёл результат анализа в карантине обнаружено:

Trojan.MulDrop.64715, Trojan.PWS.Ibank.183
 

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
#6
Выкладываю лог, сделанный ComboFix.
Как мне удалить эти трояны?
И нужно ли как то деинсталлипровать ComboFix?
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,983
Симпатии
12,258
#7
Не спешите, все будет

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
C:\Program Files\Common Files\jqyrg4inedzz13m

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29796:TCP"=-
FileLook::
C:\Documents and Settings\Егор\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

И сделайте лог OSAM
 

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
#8
Выполнил все как вы написали, за исключением лога OSAM.
Что-то стало нехило кушать интернет трафик, передаются какие то данные.
 

Вложения

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
#9
D:\mink.pif - известно, что это такое?

И вы в логе ComboFix ничего не удаляли?
 

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
#10
D:\mink.pif - известно, что это такое?

И вы в логе ComboFix ничего не удаляли?
D:\mink.pif - это полиморфный авз
В логе ничего не удалял.
Вопрос еще раз повторю почему стало интернет траффик так не хило жрать?
 

akok

Команда форума
Администратор
Сообщения
14,983
Симпатии
12,258
#11
Значит будем разбираться. Скачайте полную версию AVZ? обновите базы и повторите логи.
 

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
#12
Выручайте! С компьютером что-то не так, я его выключил и ушел на работу, а когда пришел и включил - при загрузке выскочила ошибка system32\service.exe с кодом 1073741819, после этого он сам перезагружался. Загрузил компьютер я через последнюю удачную конфигурацию, но правда все ужасно тормозит. Боюсь уже выключать компьютер. Помогите пожалуйста!!
PS совсем случайно зашел в корзину, и корзина оказалась пустая, хотя я ничего не удалял!
AVZ опять не запускается, только полиморфный.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,983
Симпатии
12,258
#13
Sinderyshkin, давайте лог полиморфной версии.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,378
Симпатии
2,443
#15
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64a8b2d8.exe','');
 QuarantineFile('C:\WINDOWS\system32\181367e8.exe','');
 QuarantineFile('C:\WINDOWS\system32\bgoqtw.exe','');
 QuarantineFile('C:\WINDOWS\System32\lmsxsltsso.dll','');
 DeleteFile('C:\WINDOWS\System32\lmsxsltsso.dll');
 DeleteFile('C:\WINDOWS\system32\bgoqtw.exe');
 DeleteFile('C:\WINDOWS\system32\181367e8.exe');
 DeleteFile('C:\WINDOWS\system32\64a8b2d8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на адрес
, в названии темы укажите – ссылку на тему.

Сделайте новые логи (попробуйте обычным AVZ) + новый лог ComboFix
 
Последнее редактирование:

Sinderyshkin

Активный пользователь
Сообщения
13
Симпатии
0
#16
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\64a8b2d8.exe','');
 QuarantineFile('C:\WINDOWS\system32\181367e8.exe','');
 QuarantineFile('C:\WINDOWS\system32\bgoqtw.exe','');
 QuarantineFile('C:\WINDOWS\System32\lmsxsltsso.dll','');
 DeleteFile('C:\WINDOWS\System32\lmsxsltsso.dll');
 DeleteFile('C:\WINDOWS\system32\bgoqtw.exe');
 DeleteFile('C:\WINDOWS\system32\181367e8.exe');
 DeleteFile('C:\WINDOWS\system32\64a8b2d8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на адрес
, в названии темы укажите – ссылку на тему.

Сделайте новые логи (попробуйте обычным AVZ) + новый лог ComboFix
Скрипт я выполнил, архив с карантином отправил. AVZ вновь стал запускаться и компьютер перестал тормозить. На диске d появилась папка RECYCLER после выполнения лога combofix, и теперь все, что удаляю помещается почему-то в эту папку, а не в корзину что на рабочем столе. Как сделать, чтобы было как раньше?
Выкладываю новые логи
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,983
Симпатии
12,258
#17
Acrobat 7.0 => необходимо обновить до последней версии или деинсталировать.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\program files\Common Files\jqyrg4inedzz13m
Driver::

Folder::
c:\program files\Common Files\7480f6a6
Registry::

FileLook::
D:\VK_grabber.exe
c:\windows\Installer\15328a.msi
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 

akok

Команда форума
Администратор
Сообщения
14,983
Симпатии
12,258
#19
c:\windows\Installer\15328a.msi - проверьте на http://www.virustotal.com


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29796:TCP"=-
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Добавлено через 1 минуту 17 секунд
После лечения обязательно смените все важные пароли.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу