Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   NOD32 усиленный режим (http://forum.oszone.net/showthread.php?t=209669)

FateMaster 22-06-2011 20:48 1699812
NOD32 усиленный режим
 
Вложений: 2
Прошу помочь мне с моей проблемой. Такое дело, была проблема с усиленным режимом в нод32, паралельно была проблема с соц сетями вконтакте и одноклассники(не войти ни туда ни туда), прочел ваш форум следовал инструкциям, все вроде решилось, усиленный режим исчез, стало возможным залезать в настройки антивируса. Но осталась после этого проблема с отказом в доступе к соц сетям. Логи из инструкции по лечению усиленного режима нод32 прилагаются.

Farger 22-06-2011 22:53 1699891
Здравствуйте,

Сейчас проверю логи.

Farger 22-06-2011 23:44 1699911
Файл C:\Documents and Settings\FateMaster\Рабочий стол\Flash-Player.exe проверьте на virustotal и дайте ссылку на результат.


1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\systemup.exe');
 TerminateProcessByName('c:\windows\sysdriver32_.exe');
 TerminateProcessByName('c:\windows\sysdriver32.exe');
 TerminateProcessByName('c:\windows\update.2\svchost.exe');
 TerminateProcessByName('c:\windows\update.1\svchost.exe');
 TerminateProcessByName('c:\windows\update.tray-2-0\svchost.exe');
 TerminateProcessByName('c:\windows\l1rezerv.exe');
StopService('wxpdrivers');
 StopService('srvsysdriver32');
 StopService('srviecheck');
QuarantineFile('C:\WINDOWS\iecheck_iplist.txt','');
QuarantineFile('C:\WINDOWS\ddh_iplist.txt','');
QuarantineFile('C:\WINDOWS\iplist.txt','');
QuarantineFile('C:\Windows\loader2.exe_ok','');
QuarantineFile('C:\WINDOWS\front_ip_list.txt','');
QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
QuarantineFile('C:\WINDOWS\l1rezerv.exe','');
QuarantineFile('services32.exe','');
 QuarantineFile('C:\WINDOWS\update.tray-2-0\svchost.exe','');
 QuarantineFile('C:\WINDOWS\systemup.exe','');
 QuarantineFile('C:\WINDOWS\sysdriver32_.exe','');
 QuarantineFile('C:\WINDOWS\services32.exe','');
 QuarantineFile('C:\WINDOWS\l1rezerv.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\9191955.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\8178876.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\2218174.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\1387167.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\1197580.exe','');
 QuarantineFile('C:\DOCUME~1\FATEMA~1\LOCALS~1\Temp\526303.exe','');
 QuarantineFile('C:\WINDOWS\update.1\svchost.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
QuarantineFile('C:\WINDOWS\update.2\svchost.exe','');
QuarantineFile('c:\windows\systemup.exe','');
QuarantineFile('c:\windows\sysdriver32.exe','');
QuarantineFile('c:\windows\update.tray-2-0\svchost.exe','');
QuarantineFile('c:\windows\update.2\svchost.exe','');
QuarantineFile('c:\windows\update.1\svchost.exe','');
QuarantineFile('c:\windows\l1rezerv.exe','');
DeleteFile('c:\windows\l1rezerv.exe');
 DeleteFile('c:\windows\update.1\svchost.exe');
 DeleteFile('c:\windows\update.2\svchost.exe');
 DeleteFile('c:\windows\update.tray-2-0\svchost.exe');
 DeleteFile('c:\windows\sysdriver32.exe');
 DeleteFile('c:\windows\systemup.exe');
 DeleteFile('C:\WINDOWS\update.2\svchost.exe');
 DeleteFile('C:\WINDOWS\sysdriver32.exe');
 DeleteFile('C:\WINDOWS\update.1\svchost.exe');
 DeleteFile('C:\DOCUME~1\FATEMA~1\LOCALS~1\Temp\526303.exe');
DeleteFile('C:\WINDOWS\l1rezerv.exe');
DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
DeleteFile('C:\WINDOWS\front_ip_list.txt');
DeleteFile('C:\Windows\loader2.exe_ok');
DeleteFile('C:\WINDOWS\iplist.txt');
DeleteFile('C:\WINDOWS\ddh_iplist.txt');
DeleteFile('C:\WINDOWS\iecheck_iplist.txt');
DeleteFile('services32.exe');
DeleteFile('C:\WINDOWS\TEMP\1197580.exe');
DeleteFile('C:\WINDOWS\TEMP\1387167.exe');
DeleteFile('C:\WINDOWS\TEMP\2218174.exe');
DeleteFile('C:\WINDOWS\TEMP\8178876.exe');
DeleteFile('C:\WINDOWS\TEMP\9191955.exe');
DeleteFile('C:\WINDOWS\l1rezerv.exe');
 DeleteFile('C:\WINDOWS\services32.exe');
 DeleteFile('C:\WINDOWS\sysdriver32_.exe');
 DeleteFile('C:\WINDOWS\systemup.exe');
 DeleteFile('C:\WINDOWS\update.tray-2-0\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','526303.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1197580.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1387167.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2218174.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8178876.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9191955.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.1\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.2\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.tray-2-0\svchost.exe');
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
DeleteService('wxpdrivers');
DeleteService('srvsysdriver32');
DeleteService('srviecheck');
DeleteFileMask('C:\windows\update.1','*.*', true);
DeleteDirectory('C:\windows\update.1');
DeleteFileMask('C:\windows\update.2','*.*', true);
DeleteDirectory('C:\windows\update.2');
DeleteFileMask('C:\Windows\update.tray-2-0','*.*', true);
DeleteDirectory('C:\Windows\update.tray-2-0');
DeleteFileMask('C:\Windows\av_ico','*.*', true);
DeleteDirectory('C:\Windows\av_ico');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT

Код:
       
        F2 - REG:system.ini: UserInit=\.globalrootsystemrootsystem32userinit.exe,
        O4 - HKLM\..\Run: [wxpdrv] C:\WINDOWS\services32.exe
        O4 - HKLM\..\Run: [tray_ico0] C:\WINDOWS\update.tray-2-0\svchost.exe
        O4 - HKLM\..\Run: [526303.exe] "C:\DOCUME~1\FATEMA~1\LOCALS~1\Temp\526303.exe"
O4 - HKLM\..\Run: [sysdriver32.exe] "C:\WINDOWS\sysdriver32.exe" rezerv
        O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\WINDOWS\sysdriver32_.exe" rezerv
        O4 - HKLM\..\Run: [8178876.exe] "C:\WINDOWS\TEMP\8178876.exe"                          O4 - HKLM\..\Run: [1387167.exe] "C:\WINDOWS\TEMP\1387167.exe"                          O4 - HKLM\..\Run: [systemup] "C:\WINDOWS\systemup.exe" stand                                  O4 - HKLM\..\Run: [l1rezerv.exe] "C:\WINDOWS\l1rezerv.exe"                                  O4 - HKLM\..\Run: [9191955.exe] "C:\WINDOWS\TEMP\9191955.exe"                          O4 - HKLM\..\Run: [2218174.exe] "C:\WINDOWS\TEMP\2218174.exe"                          O4 - HKLM\..\Run: [1197580.exe] "C:\WINDOWS\TEMP\1197580.exe"
4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ+RSIT

FateMaster 23-06-2011 19:10 1700414
Здравствуйте, сегодня пришел с работы, и попробовал зайти в контакт. соединение прошло успешно. Проблема самоустранилась... мог ли излеченный антивирус вылечить то что меня беспокоило?

Farger 23-06-2011 19:16 1700416
Здравствуйте,

А ваш антииврус во время сканирования что-то нашел и удалил/вылечил? Даже если вы смогли зайти в vkontakte, это вовсе не означает, что проблема самоустранилась.

Вы скрипты делали? Если нет, то я б на вашем месте, сделал все то, что я вам написал выше.

FateMaster 23-06-2011 20:13 1700443
окей, сделаю. скину логи. вдруг все еще висит внутри моего компа эта зараза.

Farger 23-06-2011 22:42 1700543
Сделайте логи, посмотрим.

FateMaster 23-06-2011 23:30 1700557
только что сидел делал логи, НОД32 нашел и изолировал троян, не он ли это? называется win32/Delf.QCZ находилась в файле flash-player.exe

Farger 23-06-2011 23:36 1700563
Он, но это только верхушка айсберга. Жду полный комплект выполненых логов.

FateMaster 23-06-2011 23:38 1700567
делаю, вообще антивирус разбушевался, еще три трояна обнаружил и все в системных папках... скоро сделаю выложу

Farger 23-06-2011 23:42 1700568
Вообще-то перед выполнением скрипта в AVZ надо было отключить антивирус/файерволл...

FateMaster 24-06-2011 02:19 1700613
Вложений: 4
вот долгожданные логи. по размеру меньше чем в прошлый раз=)

FateMaster 24-06-2011 02:20 1700614
все отключал. в тот раз антивирус вообще не работал, по скольку работал вирус вместо него. сейчас все отрубал

Farger 24-06-2011 11:34 1700762
Здравствуйте,

1. C:\Documents and Settings\FateMaster\Рабочий стол\Flash-Player.exe на virustotal проверили, где результат?

2. Файл C:\WINDOWS\system32\drivers\uhhmto.sysпроверьте на virustotal и дайте ссылку на результат.

3. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('services32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\uhhmto.sys','');
QuarantineFile('C:\Windows\loader2.exe_ok','');
QuarantineFile('C:\WINDOWS\iecheck_iplist.txt','');
QuarantineFile('C:\WINDOWS\ddh_iplist.txt','');
QuarantineFile('C:\WINDOWS\iplist.txt','');
QuarantineFile('C:\WINDOWS\front_ip_list.txt','');
QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
DeleteFile('C:\WINDOWS\ddh_iplist.txt');
DeleteFile('C:\WINDOWS\iecheck_iplist.txt');
DeleteFile('C:\WINDOWS\front_ip_list.txt');
DeleteFile('C:\WINDOWS\iplist.txt');
DeleteFile('C:\Windows\loader2.exe_ok');
 DeleteFile('services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.1\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.tray-2-0\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.2\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
DeleteFileMask('C:\windows\update.2','*.*', true);
DeleteDirectory('C:\windows\update.2');
DeleteFileMask('C:\Windows\av_ico','*.*', true);
DeleteDirectory('C:\Windows\av_ico');
DeleteFileMask('C:\Windows\update.tray-2-0-Ink','*.*', true);
DeleteDirectory('C:\Windows\update.tray-2-0-Ink');
DeleteFileMask('C:\Windows\update.tray-2-0','*.*', true);
DeleteDirectory('C:\Windows\update.tray-2-0');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

4. После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

5. Запустите еще раз полное сканирование MBAM, отметьте эти строки и нажмите «Удалить»:

Цитата:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{719704D7-5A55-2F53-C160-7F1BABBB5856} (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{719704D7-5A55-2F53-C160-7F1BABBB5856} (Adware.AdRotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{719704D7-5A55-2F53-C160-7F1BABBB5856} (Adware.AdRotator) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77A51299-2302-9841-FAAC-280A71E560AD} (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{77A51299-2302-9841-FAAC-280A71E560AD} (Adware.AdRotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{77A51299-2302-9841-FAAC-280A71E560AD} (Adware.AdRotator) -> No action taken.

Зараженные папки:
c:\documents and settings\fatemaster\application data\winxrar (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\documents and settings\fatemaster\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\aview (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\winrar.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\winrarview.exe (Trojan.Agent) -> No action taken.
Повторите логи AVZ, RSIT и результат удаления MBAM

6. Сделайте еще OTL by oldtimer лог файл.

FateMaster 24-06-2011 22:44 1701068
1. C:\Documents and Settings\FateMaster\Рабочий стол\Flash-Player.exe на virustotal проверили, где результат?

2. Файл C:\WINDOWS\system32\drivers\uhhmto.sysпроверьте на virustotal и дайте ссылку на результат.

где найти эти файлы? их больше нет. антивирус их нейтрализовал. нейтрализовал когда вчера сканил малваребайтом. а остальное сделаю. чуть позже

Farger 24-06-2011 22:54 1701079
Здравствуйте,

Их видно по логу RSIT, который вы сделали после сканирования Malwarebyte's. Попробуйте их найти с помощью AVZ: откройте AVZ -> Сервис -> Поиск файлов на диске -> Введите имя файла -> Пуск

FateMaster 25-06-2011 00:28 1701121
нет. файлов тех нет и в помине.делаю логи.

вопрос, что за файл просится запуститься у меня на компе? в основном после загрузки системы почти сразу. процесс называется msiexec.exe я обычно запрещаю ему запускаться. что это?

Farger 25-06-2011 11:03 1701231
msiexec.exe - компонент установщика Windows и используется для установки новых программ. Можете ознакомиться еще с этим

FateMaster 28-06-2011 17:26 1703101
что-то никак не пришлют почтой от касперского результаты... в первом письме от них правда что-то непонятное для меня было написано) но в конце приписка, файл отправлен на исследование или что-то такое...

Farger 28-06-2011 21:00 1703224
Здравствуйте,

Вы логи сделали?


Время: 11:01.

Время: 11:01.
© OSzone.net 2001-