Решена Не знаю как классифицировать проблему.

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,273
Реакции
13,841
Баллы
2,293
Какая разница между логами?

Добавлено через 10 минут 33 секунды
Выполните скрипт UVS и пришлите карантин
Код:
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

breg
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\23894729347.EXE
; C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\23894729347.EXE
addsgn 9252776A156AC1CC0BF4514EA34F1A35248A7282AA87489394CA0838B36DA8DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 W32/Yakes.LS!tr

; C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\0.7557451018972795.EXE
zoo %Sys32%\NOTEPAD.EXE
zoo %SystemDrive%\PROGRAM FILES\IP-TV PLAYER\IPTVPLAYER.EXE
deltmp
regt 12
chklst
delvir
После выполнения скрипта компьютер перезагрузится.

Добавлено через 57 секунд
Попробуете запустить проблемную систему.
 

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
481
Если её нет значит нет это я подумал что надо сделать две на всякий случай.Я из под второй винды удалил экзешник информера.И вот уже пишу из под неё.Вопрос один надо ли ещё что-то в системе ещё подчищать.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,677
Баллы
843
Сделайте из-под зараженной системы логи по правилам
 

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
481
Вот логи из под зараженной системы.
 

Вложения

  • virusinfo_syscheck.zip
    28.2 KB · Просмотры: 1
  • virusinfo_syscure.zip
    28.9 KB · Просмотры: 3
  • info.txt
    18.2 KB · Просмотры: 0
  • log.txt
    40.6 KB · Просмотры: 5

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,677
Баллы
843
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\53.tmp','');
DeleteFile('C:\WINDOWS\system32\53.tmp');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\86z8zd6uWw6A0Cp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoMR2HG', '*.*', true);
DeleteFileMask('C:\chqXLdYHF7dSQHR', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST')
DeleteDirectory('C:\chqXLdYHF7dSQHR');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoMR2HG')
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\86z8zd6uWw6A0Cp');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксить в HijackThis (некоторых строчек может не быть):
Код:
O2 - BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - (no file)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.

Обязательно смените все пароли!!!
Повторите логи AVZ и RSIT
 
Последнее редактирование:

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
481
При выполнении первого скрипта пишет вот такую вещь:Ошибка ';' expected в позиции 13:1
 

aidoqa

Ветеран
Сообщения
1,137
Реакции
316
Баллы
563
сейчас попробуйте

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\53.tmp','');
DeleteFile('C:\WINDOWS\system32\53.tmp');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\86z8zd6uWw6A0Cp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoMR2HG', '*.*', true);
DeleteFileMask('C:\chqXLdYHF7dSQHR', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
DeleteDirectory('C:\chqXLdYHF7dSQHR');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\7a6vHav3hoMR2HG');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\86z8zd6uWw6A0Cp');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,677
Баллы
843
Продолжайте далее по списку
 

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
481
Вот...
 

Вложения

  • mbam-log-2012-03-04 (19-13-35).txt
    3 KB · Просмотры: 7

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
481
И ещё
 

Вложения

  • TDSSKiller.2.7.18.0_04.03.2012_19.21.01_log.txt
    52.8 KB · Просмотры: 5

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
481
Где мне его найти он в карантине у проги mbam?

Добавлено через 30 секунд
Обратно из карантина не восстанавливается...
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,273
Реакции
13,841
Баллы
2,293
MBAM ничего не делал с файлом. Он лежит на своем месте.
Код:
C:\WINDOWS\notepad.exe
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,273
Реакции
13,841
Баллы
2,293
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\notepad.exe',' ');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на quarantine<at>virusnet.info (at=@) в заголовке (теме) письма укажите ссылку на тему.


+ в папке AVZ появится файл boot_clr.log, его прикрепите к теме.
 

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
481
Вот свежие AVZ и RSIT
 

Вложения

  • log.txt
    40.3 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    29.4 KB · Просмотры: 0
  • virusinfo_syscure.zip
    28.5 KB · Просмотры: 2

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
481
Понял делаю.Вот
 

Вложения

  • boot_clr.log
    208 байт · Просмотры: 5

sedoystarik

Активный пользователь
Сообщения
28
Реакции
0
Баллы
481
На ящик не отправляет архив два раза письмо вернулось at заменил на @

Добавлено через 1 минуту 57 секунд
quarantine@virusnet.info
SMTP error from remote mail server after RCPT TO:<quarantine@virusnet.info>:
host mx0.mail5.freehost.com.ua [194.0.200.222]:
550 User not found
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу