|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Заражение. Закрытие AVZ и т.п. |
|
|
[решено] Заражение. Закрытие AVZ и т.п.
|
Новый участник Сообщения: 11 |
Профиль | Отправить PM | Цитировать Добрый вечер. У меня не знаходит на сайты Антивирусов, вирустотал и д.р.
При открытии AVZ, HijackThis и других таких же программ, через пол секунды они закрываются ОС - XP Zver. Антивирус Касперский 2011 Проверил систему CureIt. Нашел 6 модификация, но удалить не смог т.к. зависла программа. Единственный лог который могу предоставить - это лог CureIt http://rghost.ru/3091181 Инфицированные фалы C:\WINDOWS\system32\28a8f991.exe инфицирован Trojan.MulDrop.64715 C:\WINDOWS\system32\zhmipg.exe инфицирован Trojan.PWS.Ibank.223 C:\WINDOWS\system32\*[o©2WЂR инфицирован Trojan.PWS.Ibank.218 C:\WINDOWS\system32\*{#©¤{#© инфицирован Trojan.DownLoader1.33320 c:\windows\system32\28a8f991.exe инфицирован Trojan.MulDrop.64715 c:\windows\system32\zhmipg.exe инфицирован Trojan.PWS.Ibank.223 |
|
Отправлено: 18:02, 30-10-2010 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." |
------- Отправлено: 19:03, 30-10-2010 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать выключил все. вылезает данная ошибка Уже сделал все что можно.. даже поместил файлы на карантин касперским.. все равно не могу запускать фалы и сайты |
Последний раз редактировалось comixlol, 30-10-2010 в 21:29. Отправлено: 20:17, 30-10-2010 | #3 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Пробовали переименовать и запустить?
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. Попробуйте еще раз запустить. Если так и не удастся запустить ComboFix, скачайте полиморфный AVZ по ссылке и подготовьте логи! |
------- Отправлено: 22:29, 30-10-2010 | #4 |
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать Полиморфный AVZ не работал. Но после помещения упомянутых в 1 посте файлов на карантин, они оба заработали. Даю логи. После и до переименовании ComboFix не работает. Ошибка та же, что и на скрине
|
|
Отправлено: 00:21, 31-10-2010 | #5 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать comixlol, сейчас посмотрю
|
------- Отправлено: 00:32, 31-10-2010 | #6 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Установите Internet Explorer 8 даже если не пользуетесь!
Ваше? C:\Игры\NevoDRM\run.exe *Скрипт AVZ Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\28a8f991.exe',''); QuarantineFile('C:\WINDOWS\system32\zhmipg.exe',''); QuarantineFile('C:\WINDOWS\system32\idtlgql.exe',''); QuarantineFile('C:\WINDOWS\system32\cewcaac.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys',''); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys'); DeleteFile('C:\WINDOWS\system32\cewcaac.exe'); DeleteFile('C:\WINDOWS\system32\idtlgql.exe'); DeleteFile('C:\WINDOWS\system32\zhmipg.exe'); DeleteFile('C:\WINDOWS\system32\28a8f991.exe'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. После перезагрузки выполните такой скрипт AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме. Скачайте последнюю версию AVZ, обновите базы (Файл -- обновление баз) и подготовьте повторный лог!!! Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. |
------- Отправлено: 00:51, 31-10-2010 | #7 |
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать Цитата Fedin:
Цитата Fedin:
Цитата Fedin:
Цитата Fedin:
Цитата Fedin:
Цитата Fedin:
Насчет Зараженные файлы: C:\Program Files\Multi Password Recovery\multi.password.recovery.1.x-2.x-patch.exe (Malware.Packer.Gen) в логе мбама Это патчер для Multi Password Recovery. Лецензия http://www.virustotal.com/file-scan/...8be-1287778505 Цитата Fedin:
Вот на сам файл http://www.virustotal.com/file-scan/...942-1288475692 |
|||||||
Отправлено: 01:55, 31-10-2010 | #8 |
Новый участник Сообщения: 11
|
Профиль | Отправить PM | Цитировать Вот сканирование папки с VirusTotal
http://www.virustotal.com/file-scan/...f31-1288475868 Как Вы видите, после скриптов в AVZ начал работать сайт ВирусТотал и сайт Касперского |
Отправлено: 02:00, 31-10-2010 | #9 |
Ветеран Сообщения: 876
|
Профиль | Отправить PM | Цитировать Проверьте на www.virustotal.com
C:\WINDOWS\system32\drivers\vdexodm4.sys Дайте ссылку на результат проверки Удалить в MBAM: C:\RECYCLER\S-1-5-21-790525478-343818398-682003330-500\Dc31\License\iexplore.exe (Worm.Autorun.B) -> No action taken. C:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken. C:\Program Files\Multi Password Recovery\multi.password.recovery.1.x-2.x-patch.exe (Malware.Packer.Gen) -> No action taken. Проблема решена? |
------- Отправлено: 02:28, 31-10-2010 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
подозрение на заражение. | jok17er | Лечение систем от вредоносных программ | 16 | 30-10-2010 23:31 | |
[решено] Не запускается AVZ и другие программы, блокирует доступ на сайты AVZ и Dr.Web | sokolovpa | Лечение систем от вредоносных программ | 9 | 07-10-2010 17:34 | |
[решено] Помогите продиагностировать систему на заражение! | silalex | Лечение систем от вредоносных программ | 4 | 28-01-2010 19:56 | |
Proxy/NAT - Закрытие порты | HiGH_ZeRO | Сетевые технологии | 15 | 23-07-2009 19:35 | |
Подозрение на заражение рабочей станции | Zabejalo | Лечение систем от вредоносных программ | 11 | 19-02-2009 20:46 |
|