Решена посмотрите плз
- Автор темы Susaninn
- Дата начала
- Статус
- Сообщения
- 3,600
- Реакции
- 1,634
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После всех процедур выполните скрипт
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
скачайте HJT и повторите лог RSIT
F это у вас флэшка? если да выполнить скрипт со вставленной флэшкой
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.скачайте HJT и повторите лог RSIT
F это у вас флэшка? если да выполнить скрипт со вставленной флэшкой
Спасибо за быстрый ответ.
HJt у меня скачан вчера, повторил RSIT - логи во вложении. Судя по времени изменения поменялся только log.txt. info.txt не менялся.
F - это переносной гигабайтный винт со своим питанием. Флешки и винты поменьше не пашут на зараженном компе. С него переношу логи и с больного компа на комп с инетом и скрипты обрато. Все рекомендуемые тулзы запускаю с него.
Копипасчу ответ от касперыча, хотя информации по вирусу там не нашел (это знчит что его нет?):
"Hello,
This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.
Best Regards, Kaspersky Lab
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com
>> From: ХХХ
>> Sent: 30.08.2010 15:33:27
>> To: newvirus@kaspersky.com
>> Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: ХХХ
>>
>> description:
>> virus
>>
>> Загруженные файлы:
>> quarantine.zip"
Кстати, папка "avz4\Quarantine\2010-08-30" пустая, соответственно карантин.зип весил 22 байта и был вроде без файлов, так и должно быть?
HJt у меня скачан вчера, повторил RSIT - логи во вложении. Судя по времени изменения поменялся только log.txt. info.txt не менялся.
F - это переносной гигабайтный винт со своим питанием. Флешки и винты поменьше не пашут на зараженном компе. С него переношу логи и с больного компа на комп с инетом и скрипты обрато. Все рекомендуемые тулзы запускаю с него.
Копипасчу ответ от касперыча, хотя информации по вирусу там не нашел (это знчит что его нет?):
"Hello,
This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.
Best Regards, Kaspersky Lab
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com
>> From: ХХХ
>> Sent: 30.08.2010 15:33:27
>> To: newvirus@kaspersky.com
>> Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: ХХХ
>>
>> description:
>> virus
>>
>> Загруженные файлы:
>> quarantine.zip"
Кстати, папка "avz4\Quarantine\2010-08-30" пустая, соответственно карантин.зип весил 22 байта и был вроде без файлов, так и должно быть?
Последнее редактирование:
- Сообщения
- 3,600
- Реакции
- 1,634
простите пропустил кусок лога, повторите скрипт я сделал добавления и дальше по инструкции
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
QuarantineFile('c:\program files\plugin.exe','');
QuarantineFile('c:\windows\system32\netprotocol.dll','');
DeleteFile('c:\program files\plugin.exe');
DeleteFile('c:\windows\system32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Последнее редактирование:
Повторил процедуру.
Правда файл и папка опять пустые.
Ответ касперыча такой же:
"Hello,
This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.
Best Regards, Kaspersky Lab
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"
Логи RSIT прилагаю.
Спасибо.
Правда файл и папка опять пустые.
Ответ касперыча такой же:
"Hello,
This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.
Best Regards, Kaspersky Lab
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"
Логи RSIT прилагаю.
Спасибо.
- Сообщения
- 3,600
- Реакции
- 1,634
логи нормальные, обновите адоб ридер или скачайте последний.
посоветовал бы вам использовать файерфокс с плагином носкрипт.
- Сообщения
- 21,172
- Реакции
- 14,142
Файлы sfc_os.dll и sfcfiles.dll есть в WINDOWS\system32?
Добавлено через 1 минуту 3 секунды
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению."
Добавлено через 1 минуту 3 секунды
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению."
лог комбофикса во вложении.
может быть полезно:
1. На Stage_2 вылетела ошибка - "PEV.cfxxe - обнаружена ошибка. Приложение будет закрыто." нажал "отладка".
2. после перегрузки при прохождении 50 стайджей стал ругаться DAIMON Tools Lite (и сейчас ругается) "Для этого приложения необходима, как минимум, Windows 2000 и SPTD 1.60 или выше. Отладчик ядра должен быть отредактирован."
3. и вплоть до конца висел "список автозамены". впоследствии сам его отключил.
Спасибо.
может быть полезно:
1. На Stage_2 вылетела ошибка - "PEV.cfxxe - обнаружена ошибка. Приложение будет закрыто." нажал "отладка".
2. после перегрузки при прохождении 50 стайджей стал ругаться DAIMON Tools Lite (и сейчас ругается) "Для этого приложения необходима, как минимум, Windows 2000 и SPTD 1.60 или выше. Отладчик ядра должен быть отредактирован."
3. и вплоть до конца висел "список автозамены". впоследствии сам его отключил.
Спасибо.
- Сообщения
- 21,172
- Реакции
- 14,142
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Код:
KillAll::
FCopy::
c:\windows\ServicePackFiles\i386\sfcfiles.dll|c:\windows\System32\sfcfiles.dll
Driver::
Ntiwvclrdhob
Folder::
c:\temp\E56C7B32-776E9E28-89016669-8DEFBE3D
RegLock::
[HKEY_USERS\S-1-5-21-1606980848-329068152-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]
[HKEY_USERS\S-1-5-21-1606980848-329068152-682003330-500\Software\Microsoft\SystemCertificates\AddressBook*]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
- Сообщения
- 21,172
- Реакции
- 14,142
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
Выполните sfc /scannow (подробнее)
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
Выполните sfc /scannow (подробнее)
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
- Сообщения
- 21,172
- Реакции
- 14,142
- Статус