NOD32 усиленный режим

Farger · Отправлено: **23:42, 23-06-2011** | #11

Вообще-то перед выполнением скрипта в AVZ надо было отключить антивирус/файерволл...

FateMaster · mbam-log-2011-06-24 (01-30-16).txt

вот долгожданные логи. по размеру меньше чем в прошлый раз

FateMaster · Отправлено: **02:20, 24-06-2011** | #13

все отключал. в тот раз антивирус вообще не работал, по скольку работал вирус вместо него. сейчас все отрубал

Farger · Отправлено: **11:34, 24-06-2011** | #14

Здравствуйте,

1. C:\Documents and Settings\FateMaster\Рабочий стол\Flash-Player.exe на virustotal проверили, где результат?

2. Файл C:\WINDOWS\system32\drivers\uhhmto.sysпроверьте на virustotal и дайте ссылку на результат.

3. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('services32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\uhhmto.sys','');
QuarantineFile('C:\Windows\loader2.exe_ok','');
QuarantineFile('C:\WINDOWS\iecheck_iplist.txt','');
QuarantineFile('C:\WINDOWS\ddh_iplist.txt','');
QuarantineFile('C:\WINDOWS\iplist.txt','');
QuarantineFile('C:\WINDOWS\front_ip_list.txt','');
QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
DeleteFile('C:\WINDOWS\ddh_iplist.txt');
DeleteFile('C:\WINDOWS\iecheck_iplist.txt');
DeleteFile('C:\WINDOWS\front_ip_list.txt');
DeleteFile('C:\WINDOWS\iplist.txt');
DeleteFile('C:\Windows\loader2.exe_ok');
 DeleteFile('services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.1\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.tray-2-0\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.2\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
DeleteFileMask('C:\windows\update.2','*.*', true);
DeleteDirectory('C:\windows\update.2');
DeleteFileMask('C:\Windows\av_ico','*.*', true);
DeleteDirectory('C:\Windows\av_ico');
DeleteFileMask('C:\Windows\update.tray-2-0-Ink','*.*', true);
DeleteDirectory('C:\Windows\update.tray-2-0-Ink');
DeleteFileMask('C:\Windows\update.tray-2-0','*.*', true);
DeleteDirectory('C:\Windows\update.tray-2-0');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

4. После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

5. Запустите еще раз полное сканирование MBAM, отметьте эти строки и нажмите «Удалить»:

Цитата:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{719704D7-5A55-2F53-C160-7F1BABBB5856} (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{719704D7-5A55-2F53-C160-7F1BABBB5856} (Adware.AdRotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{719704D7-5A55-2F53-C160-7F1BABBB5856} (Adware.AdRotator) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77A51299-2302-9841-FAAC-280A71E560AD} (Adware.AdRotator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{77A51299-2302-9841-FAAC-280A71E560AD} (Adware.AdRotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{77A51299-2302-9841-FAAC-280A71E560AD} (Adware.AdRotator) -> No action taken.

Зараженные папки:
c:\documents and settings\fatemaster\application data\winxrar (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\documents and settings\fatemaster\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\aview (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\winrar.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\fatemaster\application data\winxrar\winrarview.exe (Trojan.Agent) -> No action taken.

Повторите логи AVZ, RSIT и результат удаления MBAM

6. Сделайте еще OTL by oldtimer лог файл.

FateMaster · Отправлено: **22:44, 24-06-2011** | #15

1. C:\Documents and Settings\FateMaster\Рабочий стол\Flash-Player.exe на virustotal проверили, где результат?

2. Файл C:\WINDOWS\system32\drivers\uhhmto.sysпроверьте на virustotal и дайте ссылку на результат.

где найти эти файлы? их больше нет. антивирус их нейтрализовал. нейтрализовал когда вчера сканил малваребайтом. а остальное сделаю. чуть позже

Farger · Отправлено: **22:54, 24-06-2011** | #16

Здравствуйте,

Их видно по логу RSIT, который вы сделали после сканирования Malwarebyte's. Попробуйте их найти с помощью AVZ: откройте AVZ -> Сервис -> Поиск файлов на диске -> Введите имя файла -> Пуск

FateMaster · Отправлено: **00:28, 25-06-2011** | #17

нет. файлов тех нет и в помине.делаю логи.

вопрос, что за файл просится запуститься у меня на компе? в основном после загрузки системы почти сразу. процесс называется msiexec.exe я обычно запрещаю ему запускаться. что это?

Farger · Отправлено: **11:03, 25-06-2011** | #18

msiexec.exe - компонент установщика Windows и используется для установки новых программ. Можете ознакомиться еще с этим

FateMaster · Отправлено: **17:26, 28-06-2011** | #19

что-то никак не пришлют почтой от касперского результаты... в первом письме от них правда что-то непонятное для меня было написано) но в конце приписка, файл отправлен на исследование или что-то такое...

Farger · Отправлено: **21:00, 28-06-2011** | #20

Здравствуйте,

Вы логи сделали?