Решена Посмотрите, пожалуйста, логи.
- Автор темыozz747
- Дата начала
- Статус
- Сообщения
- 23,540
- Реакции
- 14,556
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.
Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
Повторите логи.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\anton\LOCALS~1\Temp\mcjzmk.exe','');
QuarantineFile('C:\WINDOWS\system32\cda73942.exe','');
QuarantineFile('c:\recycler\s-1-5-21-5696832281-0176001093-571042467-2978\syscr.exe','');
DeleteFile('c:\recycler\s-1-5-21-5696832281-0176001093-571042467-2978\syscr.exe');
DeleteFile('C:\DOCUME~1\anton\LOCALS~1\Temp\mcjzmk.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
Повторите логи.
icotonev
Ассоциация VN
- Сообщения
- 1,455
- Реакции
- 1,177
Gmer со случайным именем (рекомендуется) попробуйте его.
- Сообщения
- 3,775
- Реакции
- 2,468
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer
Код:
gmer.exe -del service mtebj
gmer.exe -del file "C:\WINDOWS\system32\qmqyh.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mtebj"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mtebj"
gmer.exe -rebootВнимание: Компьютер перезагрузится!
Сделайте новый лог gmer
При запуске cleanup.bat выдал три раза ошибку: "неверный дескриптор".
Логи сделал заново и прилагаю.
Посоветуйте, пожалуйста, что же с ним делать?
- Сообщения
- 3,543
- Реакции
- 2,710
Файл, содержащий P2P-Worm.Win32.Palevo.aaso, Вам уже удалили.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service qzkgixpo
gmer.exe -del file "C:\WINDOWS\system32\qmqyh.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qzkgixpo"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qzkgixpo"
gmer.exe -rebootКомпьютер перезагрузится!
Сделать новый лог gmer.
icotonev
Ассоциация VN
- Сообщения
- 1,455
- Реакции
- 1,177
Лог Gmer - чистый!Пожалуйста, выполните рекомендации(т.2 и т.3) и прикрепите к следующему сообщению полученные логи для анализа!Незабудьте обновить базы!
И что с проблемой?
И что с проблемой?
Последнее редактирование:
Новый пакет логов.
Первоначальные проблемы решены (см. первый пост). Но не дает покоя то, что звук у вентилятора процессора такой, как будто сам процессор работает на полную мощность (у меня ноутбук, это очень хорошо заметно, обычно - когда все программы выключены. вентилятор не шумит). И диспетчер задач показывает загрузку процессора 0%, раньше такого никогда не видел. Но, может, я просто излишне переживаю.
Первоначальные проблемы решены (см. первый пост). Но не дает покоя то, что звук у вентилятора процессора такой, как будто сам процессор работает на полную мощность (у меня ноутбук, это очень хорошо заметно, обычно - когда все программы выключены. вентилятор не шумит). И диспетчер задач показывает загрузку процессора 0%, раньше такого никогда не видел. Но, может, я просто излишне переживаю.
Последнее редактирование:
- Сообщения
- 23,540
- Реакции
- 14,556
Пофиксить в HijackThis следующие строчки
Больше ничего вредоносного в логах не вижу.
Добавлено через 56 секунд
Почистим следы:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - - (no file)Больше ничего вредоносного в логах не вижу.
Добавлено через 56 секунд
Почистим следы:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
icotonev
Ассоциация VN
- Сообщения
- 1,455
- Реакции
- 1,177
Будьте живы и здоровы и не забудьте визит наш ресурс VirusNet.info
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
16.04.2010 1:00:08
mbam-log-2010-04-16 (01-00-08).txt
Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 164522
Времени прошло: 34 минут, 41 секунд
Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 3
Зараженные папки: 3
Зараженные файлы: 12
Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)
Зараженные модули в памяти:
(Вредоносных программ не обнаружено)
Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)
Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Зараженные папки:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859 (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> Quarantined and deleted successfully.
Зараженные файлы:
C:\Program Files\WebMoney\WebMoney.exe (Spyware.WebMoney) -> Not selected for removal.
D:\дистрибутив\HD-Tune-Pro-3.10\HD Tune Pro 3.10\Crack\Patch.exe (Trojan.Downloader) -> Not selected for removal.
D:\игры\Crimsonland\кримсоланд\Crimsonland_v1.9.8_by_ByteSquad\Crimsonland198.exe (Trojan.Bancos) -> Not selected for removal.
D:\игры\trainer\Zzed\+6\pztrain.exe (Malware.Packer.Gen) -> Not selected for removal.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-12\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-13\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\bcqr00005.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\bcqr00006.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\Desktop.ini (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> Quarantined and deleted successfully.
Internet Explorer 6.0.2900.2180
16.04.2010 1:00:08
mbam-log-2010-04-16 (01-00-08).txt
Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 164522
Времени прошло: 34 минут, 41 секунд
Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 3
Зараженные папки: 3
Зараженные файлы: 12
Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)
Зараженные модули в памяти:
(Вредоносных программ не обнаружено)
Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)
Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Зараженные папки:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859 (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> Quarantined and deleted successfully.
Зараженные файлы:
C:\Program Files\WebMoney\WebMoney.exe (Spyware.WebMoney) -> Not selected for removal.
D:\дистрибутив\HD-Tune-Pro-3.10\HD Tune Pro 3.10\Crack\Patch.exe (Trojan.Downloader) -> Not selected for removal.
D:\игры\Crimsonland\кримсоланд\Crimsonland_v1.9.8_by_ByteSquad\Crimsonland198.exe (Trojan.Bancos) -> Not selected for removal.
D:\игры\trainer\Zzed\+6\pztrain.exe (Malware.Packer.Gen) -> Not selected for removal.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-12\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-13\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\avz00001.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\bcqr00005.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Downloads\Борьба с вирями\avz4\avz4\Quarantine\2010-04-14\bcqr00006.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\Desktop.ini (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> Quarantined and deleted successfully.
- Статус