Решена Не заходит в соц. сети

Статус
В этой теме нельзя размещать новые ответы.

Shadeo

Новый пользователь
Сообщения
11
Реакции
0
Не заходит в социальные сети, пишет "Вы пытаетесь зайти из необычного места." и ввести номер, при вводе, пишет "Ваш оператор не поддерживается."
 

Вложения

  • virusinfo_syscure.zip
    56.3 KB · Просмотры: 5
  • virusinfo_syscheck.zip
    55.8 KB · Просмотры: 3
  • info.txt
    18.2 KB · Просмотры: 1
  • log.txt
    33.2 KB · Просмотры: 3
Приветствую Shadeo, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

[*]Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\399375FdOh','');
 DeleteFile('C:\WINDOWS\TEMP\399375FdOh');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
Сделано.
 

Вложения

  • mbam-log-2012-10-23 (12-14-51).txt
    3.1 KB · Просмотры: 1
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\0.8508492383786428.exe','');
 QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
 DeleteFile('C:\Documents and Settings\Admin\0.8508492383786428.exe');
 DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

__________________________________________________________________


  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.


___________________________________________________________________


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Сделано.
 

Вложения

  • checkup.txt
    1.4 KB · Просмотры: 1
Последнее редактирование модератором:
Карантин отправили. Если да продублируйте по почте указанной выше.

Обновите следующие программы:

JavaFX 2.1.0
Java(TM) 7 Update 4
Java version out of Date!
Adobe Reader X (10.1.4)
Mozilla Firefox 12.0 Firefox out of Date!

Ссылки на скачивание:

Mozilla Firefox
Adobe Reader
Java SE
JavaFX

Как самочувствие системы?

Добавлено через 38 минут 28 секунд
.
Как самочувствие системы?
 
Вирус перекрыл доступ в интернет, пришлось удалить из автозагрузки.
Файл с названием в начале YmK03 прописывался в папку автозагрузки с бекапом в реестре.
Пока Хром отказывается куда-нибудь заходить, Опера и Файрфокс нормально, кстати Eset пишет:
Оперативная память = explorer.exe(256) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна MICROSOF-861CD7\Admin

Добавлено через 1 минуту 29 секунд
Вот название файла который прописывался:
23.10.2012 13:30:49 Защита в режиме реального времени файл C:\WINDOWS\pss\YmK03KZB0PU.exeStartup модифицированный Win32/Kryptik.ANOY троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe.
 
Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 
Сделано.
Хром заработал, Eset на explorer не реагирует. В контакт заходит нормально из под всех, никаких подозрительных надписей нет.
Под спойлером содержание Combofix.txt

ComboFix 12-10-23.01 - Admin 23.10.2012 14:00:29.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.2047.1475 [GMT 4:00]
Running from: c:\documents and settings\Admin\¦рсюўшщ ёЄюы\ComboFix.exe
AV: ESET Smart Security 5.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Персональный файервол ESET *Enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\CFLog
c:\cflog\EPLog.txt
c:\documents and settings\Admin\Главное меню\Программы\Автозагрузка\YmK03KZB0PU.exe
c:\documents and settings\All Users\Application Data\IBank
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\All Users\Application Data\TEMP\{8C20787A-7402-4FA7-BF25-6E5750930FDC}\PostBuild.exe
c:\documents and settings\All Users\Application Data\TEMP\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}\PostBuild.exe
C:\Documents
c:\windows\msmqinst.log
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\ieunitdrf.inf
c:\windows\system32\muzapp.exe
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\Temp\tmp3.tmp
c:\windows\XSxS
E:\install.exe
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NVSVC
-------\Service_NVSvc
.
.
((((((((((((((((((((((((( Files Created from 2012-09-23 to 2012-10-23 )))))))))))))))))))))))))))))))
.
.
2012-10-23 09:50 . 2012-10-23 09:51 -------- d-----w- c:\program files\Google
2012-10-23 09:41 . 2012-09-24 19:16 93672 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2012-10-23 09:11 . 2012-10-23 09:11 -------- d-----w- c:\documents and settings\Admin\Application Data\JavaFX Scene Builder
2012-10-23 09:10 . 2012-10-23 09:10 -------- d-----w- c:\program files\Common Files\Java
2012-10-23 09:00 . 2012-10-11 01:05 261600 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2012-10-23 09:00 . 2012-10-11 01:05 96224 ----a-w- c:\program files\Mozilla Firefox\webapprt-stub.exe
2012-10-23 09:00 . 2012-10-11 01:05 157272 ----a-w- c:\program files\Mozilla Firefox\webapp-uninstaller.exe
2012-10-23 09:00 . 2012-10-11 01:04 73696 ----a-w- c:\program files\Mozilla Firefox\breakpadinjector.dll
2012-10-23 09:00 . 2012-10-11 01:04 770384 ----a-w- c:\program files\Mozilla Firefox\msvcr100.dll
2012-10-23 09:00 . 2012-10-11 01:04 421200 ----a-w- c:\program files\Mozilla Firefox\msvcp100.dll
2012-10-23 06:24 . 2012-10-23 06:24 -------- d-----w- c:\documents and settings\Admin\Application Data\Malwarebytes
2012-10-23 06:24 . 2012-10-23 06:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-10-23 06:24 . 2012-10-23 06:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2012-10-23 06:24 . 2012-09-29 15:54 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-10-23 05:53 . 2012-10-23 05:54 -------- d-----w- C:\rsit
2012-10-23 05:53 . 2012-10-23 05:54 -------- d-----w- c:\program files\trend micro
2012-10-23 05:51 . 2012-10-23 05:51 -------- d-sh--w- c:\documents and settings\All Users\QhYxA2S6gBw
2012-10-23 05:15 . 2012-10-23 05:16 696760 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-10-23 04:08 . 2012-10-23 04:08 -------- d-----w- c:\windows\system32\wbem\Repository
2012-10-21 10:27 . 2012-10-21 10:27 -------- d-----w- c:\documents and settings\Admin\Application Data\rokapublish
2012-10-18 13:13 . 2012-10-18 13:13 -------- d-----w- c:\documents and settings\All Users\Application Data\AlawarSouthpoint
2012-10-18 13:04 . 2012-10-18 13:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Fenomen Games
2012-10-18 12:35 . 2012-10-18 12:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Grey Alien Games
2012-10-18 09:06 . 2012-10-18 09:06 -------- d-----w- c:\program files\Наша Версия
2012-10-18 09:06 . 2012-10-18 13:16 -------- d-----w- c:\program files\Alawar Entertainment
2012-10-18 09:04 . 2012-10-18 09:04 -------- d-----w- c:\program files\Ancient Quest of Saqqarah
2012-10-18 09:03 . 2012-10-18 13:16 -------- d-----w- c:\program files\Abundante
2012-10-18 09:03 . 2012-10-18 09:03 -------- d-----w- c:\program files\ReflexiveArcade
2012-10-18 08:47 . 2012-10-18 08:47 -------- d-----w- c:\program files\Farm Tribe 2 Rus
2012-10-18 08:43 . 2012-10-18 08:43 -------- d-----w- c:\program files\COOLGAMES
2012-10-18 08:41 . 2012-10-18 08:42 -------- d-----w- c:\program files\Pirates of New Horizons - Planet Buster
2012-10-18 08:31 . 2012-10-18 08:31 -------- d-----w- c:\program files\game
2012-10-14 05:29 . 2012-10-14 05:29 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\ESET
2012-10-14 05:29 . 2012-10-14 05:29 -------- d-----w- c:\documents and settings\Admin\Application Data\ESET
2012-10-14 05:28 . 2012-10-14 05:28 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2012-10-14 05:26 . 2012-10-14 05:26 -------- d-----w- c:\program files\ESET
2012-10-14 05:26 . 2012-10-14 05:26 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2012-10-14 05:24 . 2012-10-14 05:24 -------- d-----w- c:\program files\Mail.Ru
2012-10-11 13:46 . 2008-03-21 09:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2012-10-11 13:45 . 2012-10-11 13:45 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\Huawei
2012-10-11 13:42 . 2012-10-11 13:43 -------- d-----w- c:\documents and settings\All Users\Application Data\HiSuite
2012-10-11 13:42 . 2011-08-01 01:31 581192 ----a-w- c:\windows\system32\winusbcoinstaller.dll
2012-10-11 13:42 . 2011-08-01 01:31 1302600 ----a-w- c:\windows\system32\wudfupdate_01007.dll
2012-10-11 13:42 . 2011-08-01 01:31 1112288 ----a-w- c:\windows\system32\wdfcoinstaller01007.dll
2012-10-11 13:42 . 2012-10-11 13:56 -------- d-----w- c:\program files\HiSuite
2012-10-11 11:22 . 2008-04-13 20:26 30592 ----a-w- c:\windows\system32\drivers\rndismpx.sys
2012-10-11 11:22 . 2008-04-13 20:26 12800 ----a-w- c:\windows\system32\drivers\usb8023x.sys
2012-10-11 11:19 . 2012-10-11 11:19 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\Samsung
2012-10-11 11:18 . 2012-10-11 11:44 -------- d-----w- c:\documents and settings\Admin\Application Data\Samsung
2012-10-11 11:15 . 2012-10-11 11:25 -------- dc----w- c:\windows\system32\DRVSTORE
2012-10-11 11:14 . 2012-09-26 16:57 4659712 ----a-w- c:\windows\system32\Redemption.dll
2012-10-11 11:13 . 2012-10-11 11:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Samsung
2012-10-11 11:05 . 2012-10-11 11:43 -------- d-----w- c:\program files\SAMSUNG
2012-10-11 11:04 . 2012-10-11 12:58 -------- d-----w- c:\program files\Microsoft ActiveSync
2012-10-11 10:32 . 2012-10-11 10:35 -------- d-----w- C:\android-sdk
2012-10-11 10:30 . 2012-10-11 10:31 -------- d-----w- c:\documents and settings\Admin\.android
2012-10-11 10:30 . 2012-10-11 10:31 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\Android
2012-10-10 14:27 . 2012-10-10 14:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Freemake
2012-10-10 14:26 . 2012-10-10 14:26 -------- d-----w- c:\program files\Xenocode
2012-10-10 14:23 . 2012-10-10 14:25 -------- d-----w- c:\documents and settings\Admin\Application Data\DVDVideoSoft
2012-10-06 13:35 . 2012-10-10 13:30 -------- d-----w- C:\My downloads
2012-10-06 13:32 . 2012-10-06 13:32 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\VKMusic 4
2012-10-06 13:32 . 2012-10-06 13:33 -------- d-----w- c:\program files\VKMusic 4
2012-10-05 13:47 . 2012-10-05 13:47 -------- d-----w- c:\documents and settings\Admin\Application Data\YoudaGames
2012-10-04 08:42 . 2012-10-22 14:48 -------- d-----w- c:\documents and settings\Admin\Application Data\AnvSoft
2012-10-03 16:15 . 2012-10-03 16:15 -------- d-----w- c:\program files\Rovio
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-23 09:09 . 2012-05-25 18:45 821736 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-10-23 09:09 . 2012-05-25 18:45 746984 ----a-w- c:\windows\system32\deployJava1.dll
2012-10-23 05:16 . 2011-08-10 20:41 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-11 01:05 . 2012-10-23 09:00 261600 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2011-08-25 . E0593C5746742DFB99A45B9D1234EBFB . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
.
[-] 2011-08-15 09:40 . 6941BC76E7DD739150D07CA54DBC1D87 . 1406976 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
.
[-] 2010-04-12 . AFF794E22A94B50C1C039646977C05ED . 616448 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
.
[-] 2011-08-15 . 2F61A23FD6AE38DE7F2896A18F8E4F58 . 648192 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2011-08-15 . A9A5E519D683C7567CC06BE600D623F9 . 929280 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
[-] 2011-08-15 . 4EF89624E8428B8EC5D200524370A027 . 1061888 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
.
[-] 2011-08-15 . 09ECBA39AFFB03F5736192DA6EDF204F . 257024 . . [5.1.2600.5512] . . c:\windows\system32\tapisrv.dll
.
[-] 2010-04-12 . E7ECD4FA070B0BEEA3C3C7115C5C2F17 . 632320 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
.
[-] 2011-08-15 . 0A20E710200C82AA7F9D9BAF1B910090 . 1765888 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
[-] 2011-08-15 . 669092DB173BBBA2C23B5D016DABCB05 . 219136 . . [5.1.2600.5512] . . c:\windows\regedit.exe
.
[-] 2011-08-15 . 23559BD4E95879A34B9936EF67041BB9 . 1292288 . . [5.1.2600.6010] . . c:\windows\system32\ole32.dll
.
[-] 2011-08-15 . 60B3FCC491EFF0DC7A86D2A420206F4F . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
[-] 2011-08-15 . 4E905F8D5DD204EF0C4E0616DC91DDF5 . 135680 . . [6.00.2900.5853] . . c:\windows\system32\shsvcs.dll
.
[-] 2011-08-15 . 01AA7A93FCEF302CE7978562ABF0F3C2 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
[-] 2011-08-15 . 855C923613000B90FC0617F845FF9265 . 358912 . . [5.1.2600.5512] . . c:\windows\system32\hnetcfg.dll
.
[-] 2011-08-23 . 9BB80F2D6C07F6642F36F4A27B670590 . 2031616 . . [5.1.2600.6055] . . c:\windows\system32\ntkrnlpa.exe
.
[-] 2010-04-12 . 03C0AF39BCEF07EE95CB7216D9685E5C . 2149888 . . [5.1.2600.5857] . . c:\windows\system32\ntoskrnl.exe
.
[-] 2011-08-15 . 984CDCD67B841A3D4099752D657D60AE . 349696 . . [5.1.2600.5512] . . c:\windows\system32\wiaservc.dll
.
[-] 2011-08-15 . 28DB0E75ACEC07983D05F2AA06AA1717 . 24576 . . [5.1.2600.5512] . . c:\windows\system32\midimap.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{91397D20-1446-11D4-8AF4-0040CA1127B6}"= "c:\program files\Yandex\YandexBarIE\yndbar.dll" [2011-12-19 8856376]
.
[HKEY_CLASSES_ROOT\clsid\{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2009-01-11 132096]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2012-05-12 880496]
"EVEREST AutoStart"="e:\торренты\EVEREST Ultimate Edition v5.50 Build 2242 Beta Multilingual\everest.exe" [2012-05-12 2487904]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2011-08-09 20055144]
"TaskSwitchXP"="c:\program files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 62976]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2012-02-29 15494464]
"NvMediaCenter"="NvMCTray.dll" [2012-02-29 108352]
"nwiz"="c:\program files\NVIDIA Corporation\nview\nwiz.exe" [2012-02-29 1634112]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2012-03-07 3117344]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2011-08-15 30208]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2009-01-11 132096]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Z-Del_Mini1"="del" [X]
"Z-Del_Mini3"="reg add hkcu\Software\Microsoft\Internet Explorer\Toolbar" [X]
"Z-Del_Mini4"="reg add hkcu\Software\Microsoft\Internet Explorer\Toolbar" [X]
.
c:\documents and settings\Admin\Главное меню\Программы\Автозагрузка\
vw.lnk - c:\documents and settings\Admin\Мои документы\vw.exe [2012-4-8 1172992]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"NoThumbnailCache"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"NoThumbnailCache"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mobile Partner]
2012-10-11 13:42 547840 ----a-w- c:\program files\HiSuite\HiSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-07-03 05:04 252848 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
.
R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14.03.2012 8:40 120152]
R1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [04.04.2012 23:10 33824]
R2 am7pro;Art*Money*Pro7.37.2;c:\games\ArtMoney\am737.sys [04.04.2012 17:40 8192]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [07.03.2012 15:40 913144]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe [04.04.2012 13:22 2348352]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;e:\торренты\EVEREST Ultimate Edition v5.50 Build 2242 Beta Multilingual\kerneld.wnt [12.05.2012 20:50 28272]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [04.04.2012 16:43 123712]
S1 ArcSec;ArcSec;c:\windows\system32\drivers\ArcSec.sys --> c:\windows\system32\drivers\ArcSec.sys [?]
S2 gupdate;Служба Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [23.10.2012 13:50 116648]
S3 1394hub;1394 Enabled Hub;c:\windows\system32\svchost.exe -k netsvcs [15.04.2008 16:00 14336]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [04.04.2012 16:43 1691480]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys --> c:\windows\system32\drivers\dgderdrv.sys [?]
S3 gupdatem;Служба Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [23.10.2012 13:50 116648]
S3 XDva399;XDva399;\??\c:\windows\system32\XDva399.sys --> c:\windows\system32\XDva399.sys [?]
S3 XDva400;XDva400;\??\c:\windows\system32\XDva400.sys --> c:\windows\system32\XDva400.sys [?]
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - WS2IFSL
.
Contents of the 'Scheduled Tasks' folder
.
2012-10-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-10-23 09:50]
.
2012-10-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-10-23 09:50]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://all.hopto.org
mStart Page = hxxp://all.hopto.org
TCP: Interfaces\{BCF05239-9E5F-484F-BDD9-8B927FF0663F}: NameServer = 213.177.96.1,213.177.97.1
TCP: Interfaces\{D97ABFA8-7A0B-42DC-A050-459F2D27A618}: NameServer = 88.147.129.15 88.147.128.17
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\gnr2720r.default\
FF - prefs.js: browser.search.selectedEngine - Яндекс
FF - prefs.js: browser.startup.homepage - hxxp://firefox.yandex.ru/
FF - prefs.js: keyword.URL - hxxp://yandex.ru/yandsearch?clid=1864188-101&text=
.
- - - - ORPHANS REMOVED - - - -
.
Toolbar-Locked - (no file)
Toolbar-ITBar7Position - (no file)
HKU-Default-RunOnce-tscuninstall - c:\windows\system32\tscupgrd.exe
Notify-WgaLogon - (no file)
AddRemove-HashTab - c:\windows\system32\ShellExt\htdel32.bat
AddRemove-ZP--LineageII - e:\games\4game\LineageII\4GameUninstaller.exe LineageII Frost\frostUpdater.exe system\l2.exe
AddRemove-ZP--PointBlank - e:\program files\4game\PointBlank\4GameUninstaller.exe PointBlank Frost\frostUpdater.exe
AddRemove-ZP-pts-LineageII PTS - e:\lineageii\4GameUninstaller.exe LineageII PTS pts Frost\frostUpdater.exe system\l2.exe
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-20_NXP_Driver - c:\program files\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
AddRemove-Винодел - c:\program files\Винодел\Uninstall.exe
AddRemove-Русалочка и тайна древнего клада - c:\program files\GFI\Sea_Quest_2_rus\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-10-23 14:10
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_USERS\S-1-5-21-1715567821-113007714-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,78,3e,09,c1,de,7c,58,45,9b,7b,eb,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,78,3e,09,c1,de,7c,58,45,9b,7b,eb,\
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(1076)
c:\windows\system32\cscui.dll
.
- - - - - - - > 'lsass.exe'(1132)
c:\windows\system32\psbase.dll
.
- - - - - - - > 'explorer.exe'(3492)
c:\windows\system32\SHDOCVW.dll
c:\windows\system32\WININET.dll
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\LINKINFO.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\ATL.DLL
c:\windows\system32\msi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
c:\windows\system32\cryptdll.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Java\jre7\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RunDLL32.exe
e:\c:\Documents and Settings\Admin\c:\windows\system32\svchost.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2012-10-23 14:16:14 - machine was rebooted
ComboFix-quarantined-files.txt 2012-10-23 10:16
.
Pre-Run: 49*945*026*560 байт свободно
Post-Run: 49*898*115*072 байт свободно
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect
.
- - End Of File - - FDB6BB8688541DC0B9C84CF8E6647916
 

Вложения

  • ComboFix.zip
    6.9 KB · Просмотры: 1
Уже лучше сейчас поглядим.

Добавлено через 5 минут 46 секунд
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::

Folder::
c:\documents and settings\All Users\QhYxA2S6gBw
Registry::

DDS::
uStart Page = hxxp://all.hopto.org
mStart Page = hxxp://all.hopto.org

Firefix::
FF - prefs.js: browser.search.selectedEngine - Яндекс

DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.


__________________________________________________________



Сделайте лог OTL by Oldtimer
 
Сделано.
 

Вложения

  • Extras.Txt
    40.3 KB · Просмотры: 1
  • OTL.Txt
    266.7 KB · Просмотры: 2
  • ComboFix.zip
    489 байт · Просмотры: 1
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    FF - prefs.js..browser.search.defaultenginename: "Яндекс"
    FF - prefs.js..browser.search.selectedEngine: "Яндекс"
    CHR - homepage: http://all.hopto.org/
    CHR - homepage: http://all.hopto.org/
    O4 - Startup: C:\Documents and Settings\Mama\Главное меню\Программы\Автозагрузка\YmK03KZB0PU.exe ()
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    [2012.10.23 12:27:07 | 000,000,631 | ---- | M] () -- C:\Documents and Settings\Admin\ruklpclst.dat
    
    :Services
    
    :Files
    
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
All processes killed
========== PROCESSES ==========
========== OTL ==========
Prefs.js: "Яндекс" removed from browser.search.defaultenginename
Prefs.js: "Яндекс" removed from browser.search.selectedEngine
Use Chrome's Settings page to change the HomePage.
Use Chrome's Settings page to change the HomePage.
C:\Documents and Settings\Mama\Главное меню\Программы\Автозагрузка\YmK03KZB0PU.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
C:\Documents and Settings\Admin\ruklpclst.dat moved successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
< ipconfig /flushdns /c >
Настройка протокола IP для Windows
Успешно сброшен кэш распознавателя DNS.
C:\Documents and Settings\Admin\Мои документы\cmd.bat deleted successfully.
C:\Documents and Settings\Admin\Мои документы\cmd.txt deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 9873151 bytes
->Google Chrome cache emptied: 9856084 bytes
->Opera cache emptied: 16985227 bytes
->Flash cache emptied: 1296 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temporary Internet Files folder emptied: 32902 bytes

User: Mama
->Temp folder emptied: 13 bytes
->Temporary Internet Files folder emptied: 2544857 bytes
->Google Chrome cache emptied: 366661626 bytes
->Opera cache emptied: 51779966 bytes
->Flash cache emptied: 10232553 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Гость
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2340499 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 790134 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 449,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 10232012_153607

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
 
Мда. Сложноватые зловреды пошли (никак не хотят по хорошему)...


Смените все пароли у Вас заражение троянами SpyEye и Carberp

Давайте на анализ сначала отправим все что насобирали.

Можно дальнейшее в один архив.

Отправка карантина Combofix

Запакуйте в архив с паролем "virus" папку C:\Qoobox\Quarantine\ - C:\ - Ваш системный диск
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Отправка карантина OTL by OldTimer

Запакуйте в архив с паролем "virus" папку C:\_OTL\MovedFiles - C:\ - Ваш системный диск
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Затем сделайте новый лог OTL by OldTimer

+

_________________________________________________________________


  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe;
  3. Нажмите кнопку "Изменить параметры проверки";
  4. Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
  5. Подтвердите изменение настроек нажатием кнопки "ОК";
  6. Нажмите кнопку "Начать проверку";
  7. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  8. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  9. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  10. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  11. Самостоятельно без указания хелпера ничего не не удаляйте!!!
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt


+


____________________________________________________________________


Скачайте aswMBR и сохраните его на Рабочем столе.
  1. Запустите aswMBR.exe двойным щелчком мыши;
  2. Будет произведена попытка скачать обновления вирусных баз - (Если в системе установлен брандмауэр, разрешите доступ aswMBR.exe в сеть)
  3. Нажмите кнопку Scan для начала сканирования
  4. По окончанию сканирования нажмите кнопку Save log, сохраните лог на Рабочем столе.
  5. Прикрепите полученный лог к следующему сообщению.
Примечание: Не нажимайте никаких других кнопок (Fix, FixMBR) без прямого указания хелпера!!! При несоблюдении данного условия операционная система может прийти в неработоспособное состояние!!!
 
Яндекс отказывается отправлять архив, залил на файлообменник, ссылка в письме.
 

Вложения

  • TDSSKiller.2.8.13.0_23.10.2012_16.28.41_log.txt
    84.2 KB · Просмотры: 3
  • aswMBR.txt
    2.6 KB · Просмотры: 1
Ссылку принял, новый Карберп

Думаю дело к концу движется.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\preatorian.exe','');
 DeleteFile('C:\WINDOWS\system32\preatorian.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

+


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Сделал.
 

Вложения

  • AdwCleaner[R1].txt
    2.6 KB · Просмотры: 2
Отлично:

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Опять не вижу карантина в ящике. Если есть возможность продублируйте почтой.

Для контроля хорошо бы еще раз подготовить лог OTL

+

PS. Сейчас ухожу появлюсь около 20.00 ждите или меня или другого хелпера.

Не забудьте сменить пароли. Пользователя mama - это тоже касается
 
Удалил.

Карантин и отправил почтой, сейчас продублирую через форму.
 

Вложения

  • AdwCleaner[S1].txt
    2.5 KB · Просмотры: 1
  • OTL.Txt
    268.7 KB · Просмотры: 4
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу