Решена Профилактика

Статус
В этой теме нельзя размещать новые ответы.
Владислав

Владислав

Новый пользователь
Сообщения
13
Реакции
0
Прошу глянуть логи и подсказать, есть ли что то вредное. Буду очень благодарен. И есть еще один вопрос можете ли вы помочь с вирусами на флешке?Точно не знаю содержат ли информацию info.txt и log.txt т.к. HijackThis ругался.Скрин в вложениях.
 
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код: 
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\MEMIO.SYS','');
 QuarantineFile('C:\PROGRA~1\FOLDER~1\FGH32.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
 DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}');
 DelBHO('{18DF081C-E8AD-4283-A596-FA578C2EBDC3}');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код: 
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


C:\WINDOWS\tasks\Быстрое решение проблем.job - знакомо?

Радмин сами устанавливали?

Повторите логи с вставленной флешкой.
 
Всё зделал, но ничего не вышло. Возможно проблемы в самой флешке внешние повреждения и т.д. ? :mda:
 
_desktop.ini - в архив с паролем virus (если еще файл остался) и отправить мне akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Насчет флешки:
Попробуйте воспользоваться HDD Low Level Format Tool
 
Как и ожидал, в файле ничего нет...совсем ничего.
 
Hard Disk Low Level Format Tool ничего не зделал. Но если он пуст как тогда объяснить это ?? Форум наверно сжал картинку.
 
Последнее редактирование:
Скрин маленький не вижу детекта. Можно с большим расширением?

Попробуйте написать сюда и указать в категории запроса "Ложное срабатываение".
 
2-й компьютер

Прошу посмотреть логи с 2 компьютера. Есть ли в нем что то вредное ?
 
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код: 
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\NV34763480.TMP
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Чисто. Какие с ним проблемы?

Рекомендую обновить IE до 7 версии, да и SP не помешает.
 
Жалоб как таковых нет. А обновить не могу т.к. нету возможности подключить его к интернету.
Код: 
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\NV34763480.TMP moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02262009_184405

Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
 
Есть несколько жалоб, когда хочу завершить какой-либо процесс в диспетчере задач сразу блокируется ввод с клавиатуры и мыши, и так всегда, и еще файрволл сечет какието вобще непонятные процесы, и ДНС запросы... и при запуске появляется какой-то новый процесс хотя я его не запускал или у меня вобще нету этой программы например uTorrent.exe у меня на компъютере торрента и впомине нету.Прошу глянуть логи :unknw: может есть что.
 
c:\WINDOWS\10st.dll, c:\WINDOWS\3dy.dll, c:\WINDOWS\74m.dll, c:\WINDOWS\bs.dll, c:\WINDOWS\Mrnop.dll, c:\WINDOWS\pr0m.dll, c:\WINDOWS\r3cc4.dll - проверьте на virustotal.com и выложите ссылки на результаты проверки

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код: 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\xinstall.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код: 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

Повторите логи.
 
 
Последнее редактирование:
Скачайте Icesword
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
C:\WINDOWS\system32\drivers\xinstall.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.

Пофиксить в HijackThis следующие строчки
Код: 
 	O2 - BHO: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
	O3 - Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)	O9 - Extra button: (no name) - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - (no file) (HKCU)


Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Повторите логи.
 
IceSword не запускается пишет ошибки :
Код: 
1:  "Initialize failed, error code: 1."
2: " Initialize failed"
 
Вот логи, изменений не вижу, в процессах висят некие :
calc.exe
Код: 
C:\Program Files\Outlook Express\msimn.cfg\volume.ini
ChamClock.exe
Код: 
C:\Program Files\Sony Setup\Vegas 7.0\mediamgr.dat\convert.ini
FineReader.exe
Код: 
C:\Program Files\Microsoft SQL Server\80\tools.ico\user.ini
и то подобное не относящееся к моей системе, но всё пропало с процессов после того как их ДНС запросы были заблокированы файрволом.:unknw: чё за бред не могу понять. Кстати C:\WINDOWS\system32\drivers\xinstall.sys я так и не нашел .
 
Последнее редактирование:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код: 
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\Sony Setup\Vegas 7.0\mediamgr.dat\convert.ini\ChamClock.exe .','');
 QuarantineFile('C:\Program Files\Sony\Vegas 7.0\video plug-ins.cfg\connect.ini\mirc.exe .','');
 QuarantineFile('C:\Program Files\Radmin Viewer 3.0\addbacktrayicon.dat\channel.ini\StyleXP.exe .','');
 QuarantineFile('C:\Program Files\QIP Infium\Smilies\qip infium smilies.log\read.ini\msmsgs.exe','');
 QuarantineFile('C:\Program Files\Alcohol Soft\Alcohol 120\starwind.txt\info.ini\WinRAR.exe .','');
 QuarantineFile('C:\Program Files\Alky for Applications\Libraries\manifest.dat\format.ini\wordpad.exe .','');
 QuarantineFile('C:\Program Files\Common Files\GTK\GTK.dll\library.ini\Hcontrol.exe .','');
 QuarantineFile('C:\Program Files\AIMP2\System\aimp_mmk.ini\perform.ini\Total.exe .','');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\80\tools.ico\user.ini\FineReader.exe .','');
 QuarantineFile('C:\DOCUME~1\F085~1\LOCALS~1\Temp\aujasnkj.sys','');
 QuarantineFile('C:\Program Files\Download Master\temp\dbans.txt.cfg\event.ini\WinRAR.exe','');
 QuarantineFile('c:\program files\alcohol soft\alcohol 120\starwind.txt\info.ini\winrar.exe','');
 QuarantineFile('c:\program files\download master\temp\dbans.txt.cfg\event.ini\winrar.exe','');
 QuarantineFile('c:\program files\alky for applications\documentation\manual.txt\result.ini\regetdx.exe','');
 QuarantineFile('c:\program files\windows nt\accessories\mswrd6.ico\event.ini\miranda.exe','');
 QuarantineFile('c:\program files\outlook express\msimn.cfg\volume.ini\calc.exe','');
 QuarantineFile('c:\program files\sony\shared plug-ins\utilities.txt\message.ini\avp.exe','');
 DeleteFile('c:\program files\sony\shared plug-ins\utilities.txt\message.ini\avp.exe');
 DeleteFile('c:\program files\outlook express\msimn.cfg\volume.ini\calc.exe');
 DeleteFile('C:\DOCUME~1\F085~1\LOCALS~1\Temp\aujasnkj.sys');
 DeleteFile('kdzw.sys');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код: 
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


Интересно....
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

Tpiikca
  • Закрыта
Решена Профилактика ПК
2
Ответы
20
Просмотры
3K
Tpiikca
Tpiikca
Tpiikca
  • Закрыта
Решена Профилактика. Подозрение на зловред.
Ответы
12
Просмотры
2K
Tpiikca
Tpiikca
K
  • Закрыта
Решена Профилактика после долгого пути
Ответы
8
Просмотры
2K
akok
akok
Назад
Сверху Снизу