[решено] Спам все блокирует

inn8787 · Отправлено: **02:00, 01-07-2009** | #11

AVZ пишет, что ошибка в скрипте: позиция 4:17 ')'

thyrex, АVZ пишет, что ошибка в скрипте, позиция 4:17

thyrex · Конфигурация компьютера

Скрипт без ошибок. Скорее всего копируете с ошибками

inn8787 · Отправлено: **13:29, 01-07-2009** | #13

thyrex, к сожалению скрипт приходится набирать вручную, ни один текстовый документ не открывается. Может можно как-то по другому сохранить текст, а потом войти в безопасный режим и вставить скопированный текст. При наборе вручную AVZ пишет ошибку в позиции 3:19.

thyrex · Конфигурация компьютера

1. Выделяете текст скрипта прямо в том сообщении, где он написан
2. По щелчку правой кнопкой мыши выбираете Копировать
3. Открываете AVZ и вставляете скопированное

inn8787 · Отправлено: **14:02, 01-07-2009** | #15

Извините. Скрипты верны. Выполнила, получилось только в безопасном режиме. Проблема осталась. Карантин отправила Касперскому - жду ответа.

inn8787 · Отправлено: **15:04, 01-07-2009** | #16

Вот новые логи

akok · Отправлено: **15:27, 01-07-2009** | #17

Проверьте на www.virustotal.com (результат сообщите)

c:\windows\system32\notepad.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\free-downloads.net\tbfre1.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\12065934\12065934.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\lemsgt.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\hwpsgt.sys','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\12065934\12065934.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

inn8787 · Отправлено: **16:05, 01-07-2009** | #18

akok, Получен ответ от антивируса он-лайн:
Антивирус Версия Обновление Результат
a-squared 4.5.0.18 2009.07.01 -
AhnLab-V3 5.0.0.2 2009.07.01 -
AntiVir 7.9.0.199 2009.07.01 -
Antiy-AVL 2.0.3.1 2009.07.01 -
Authentium 5.1.2.4 2009.06.30 -
Avast 4.8.1335.0 2009.06.30 -
AVG 8.5.0.386 2009.07.01 -
BitDefender 7.2 2009.07.01 -
CAT-QuickHeal 10.00 2009.07.01 -
ClamAV 0.94.1 2009.07.01 -
Comodo 1528 2009.07.01 -
DrWeb 5.0.0.12182 2009.07.01 -
eSafe 7.0.17.0 2009.06.29 -
eTrust-Vet 31.6.6590 2009.06.30 -
F-Prot 4.4.4.56 2009.06.30 -
F-Secure 8.0.14470.0 2009.07.01 -
Fortinet 3.117.0.0 2009.07.01 -
GData 19 2009.07.01 -
Ikarus T3.1.1.64.0 2009.07.01 -
Jiangmin 11.0.706 2009.07.01 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.07.01 -
McAfee 5662 2009.06.30 -
McAfee+Artemis 5662 2009.06.30 -
McAfee-GW-Edition 6.7.6 2009.07.01 -
Microsoft 1.4803 2009.07.01 -
NOD32 4203 2009.07.01 -
Norman 6.01.09 2009.07.01 -
nProtect 2009.1.8.0 2009.07.01 -
Panda 10.0.0.14 2009.06.30 -
PCTools 4.4.2.0 2009.06.30 -
Prevx 3.0 2009.07.01 -
Rising 21.36.23.00 2009.07.01 -
Sophos 4.43.0 2009.07.01 -
Sunbelt 3.2.1858.2 2009.07.01 -
Symantec 1.4.4.12 2009.07.01 -
TheHacker 6.3.4.3.358 2009.06.30 -
TrendMicro 8.950.0.1094 2009.07.01 -
VBA32 3.12.10.7 2009.07.01 -
ViRobot 2009.7.1.1814 2009.07.01 -
VirusBuster 4.6.5.0 2009.06.30 -
Дополнительная информация
File size: 189440 bytes
MD5...: 5fb7a39f88be72e5929cd410de826bf3
SHA1..: 44bbb596023701d71444c31a2d2c6d5fcbda1a35
SHA256: 9f1f165318027e294f5cf91656c50ff57a90bdbc9dc280c87aee2afb584fc968
ssdeep: 3072:qdTfxMYCJd7s8QKndF8EZLyvqdeHNCr1VW06+c4vWmxryBRn9aJyIosqL:C
I7sKEEZwqdYy1VFvWmxGBRQ

PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8f61
timedatestamp.....: 0x470f86c5 (Fri Oct 12 14:37:57 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x243ad 0x24400 6.40 9e76445f786b5727df74df4daec54461
.rdata 0x26000 0x3844 0x3a00 5.08 7ab0caa08ed81caf9a2a1d6f5c20cf3e
.data 0x2a000 0xd6c0 0x1200 0.64 3f687e7ede0410f4210ff295b3997cec
.rsrc 0x38000 0x4eb8 0x5000 4.38 81559b452d3b200542b1b10119a7acfe

( 9 imports )
> KERNEL32.dll: GetCurrentDirectoryW, GetCommandLineA, GetCommandLineW, FindClose, FindFirstFileA, FindFirstFileW, GetModuleFileNameA, GetModuleFileNameW, GetFullPathNameA, GetFullPathNameW, CreateFileA, CreateFileW, ReadFile, WriteFile, HeapAlloc, HeapFree, GetCurrentDirectoryA, CreateProcessW, GetCurrentThreadId, WideCharToMultiByte, GetFileSize, FindNextFileA, FindNextFileW, ExpandEnvironmentStringsA, ExpandEnvironmentStringsW, GetFileTime, GetFileAttributesA, GetFileAttributesW, SetFilePointer, SetFileTime, SetFileAttributesA, SetFileAttributesW, lstrcatW, lstrcatA, MultiByteToWideChar, lstrcmpW, lstrcmpA, GetProcessHeap, GetWindowsDirectoryW, GetACP, GetOEMCP, GetUserDefaultLangID, GetLocaleInfoW, GetLocaleInfoA, GetModuleHandleA, GetStartupInfoA, CreateMutexA, GetLastError, WaitForSingleObject, GetProcAddress, lstrcpynA, LoadLibraryA, GetModuleHandleW, GetStartupInfoW, CreateMutexW, lstrcpynW, LoadLibraryW, FreeLibrary, SearchPathW, lstrlenW, SetCurrentDirectoryW, lstrcmpiW, MulDiv, SearchPathA, ReleaseMutex, CloseHandle, lstrlenA, Sleep, GlobalLock, GlobalUnlock, SetCurrentDirectoryA, lstrcmpiA, lstrcpyW, lstrcpyA, CompareFileTime, ExitProcess, GlobalFree, CreateProcessA, GlobalAlloc
> USER32.dll: GetSysColor, GetSystemMetrics, SetClassLongA, GetClientRect, DrawMenuBar, DeleteMenu, GetSubMenu, CreateWindowExA, DefFrameProcW, GetMenuStringW, DispatchMessageW, GetMenuStringA, SetClassLongW, CreateWindowExW, TranslateAcceleratorW, IsDialogMessageW, GetMessageW, RegisterClassW, FindWindowW, TranslateAcceleratorA, IsDialogMessageA, GetMessageA, RegisterClassA, LoadCursorA, FindWindowA, GetClassNameA, GetClassNameW, SetWindowPos, DrawTextExA, DrawTextExW, CharUpperA, CharUpperW, ModifyMenuA, InsertMenuA, ModifyMenuW, InsertMenuW, CallNextHookEx, GetKeyState, GetKeyNameTextA, MapVirtualKeyA, GetKeyNameTextW, MapVirtualKeyW, UnhookWindowsHookEx, EndDialog, SetDlgItemTextA, SetDlgItemTextW, GetFocus, ActivateKeyboardLayout, GetKeyboardLayout, ReleaseDC, GetDC, SetForegroundWindow, MoveWindow, GetWindow, LoadMenuA, LoadMenuW, LoadAcceleratorsA, LoadAcceleratorsW, LoadIconA, LoadIconW, LoadImageA, LoadImageW, LoadStringA, LoadStringW, CreateDialogParamA, CreateDialogParamW, DialogBoxParamA, DialogBoxParamW, EnumThreadWindows, WaitForInputIdle, CheckMenuRadioItem, SetWindowsHookExA, GetWindowTextA, EnableWindow, SetWindowTextA, GetWindowTextW, SetWindowTextW, DrawTextA, DrawTextW, GetWindowTextLengthA, GetWindowTextLengthW, GetDlgItemInt, SetDlgItemInt, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, GetClipboardData, IsCharLowerA, CharLowerA, CharLowerBuffA, CharUpperBuffA, IsCharLowerW, CharLowerW, CharLowerBuffW, CharUpperBuffW, GetDlgItemTextA, GetDlgItemTextW, ShowCaret, HideCaret, FindWindowExA, FindWindowExW, DestroyCursor, DestroyAcceleratorTable, DestroyMenu, PostQuitMessage, DefFrameProcA, GetClassLongW, ScreenToClient, GetSystemMenu, SetCapture, SetCursor, GetClassLongA, ReleaseCapture, CreateMDIWindowW, DestroyWindow, DestroyIcon, CreateMDIWindowA, CallWindowProcW, SendMessageW, DefWindowProcW, CallWindowProcA, MessageBeep, SystemParametersInfoA, GetScrollInfo, DefWindowProcA, GetCursorPos, SetWindowLongW, DefMDIChildProcW, SetWindowLongA, InvalidateRect, GetDlgItem, DefMDIChildProcA, wsprintfW, MessageBoxW, PostMessageW, GetWindowLongW, SetFocus, wsprintfA, MessageBoxA, PostMessageA, ShowWindow, UpdateWindow, GetQueueStatus, GetKeyboardState, PeekMessageA, TranslateMessage, DispatchMessageA, ShowScrollBar, CheckMenuItem, ClientToScreen, GetWindowRect, EnableMenuItem, TrackPopupMenu, GetParent, GetWindowLongA, SendMessageA, PeekMessageW
> GDI32.dll: StartDocW, GetTextMetricsW, StartDocA, GetTextMetricsA, StartPage, EndPage, EndDoc, DeleteDC, CreateFontIndirectW, GetCharWidthW, CreateFontIndirectA, SelectObject, GetCharWidthA, DeleteObject, CreateDCW, CreateDCA, GetDeviceCaps, GetObjectW, GetObjectA, GetStockObject
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegCloseKey, RegOpenKeyExA, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW, RegDeleteKeyW, RegEnumKeyExW, RegDeleteKeyA, RegEnumKeyExA, RegEnumValueW, RegDeleteValueW, RegEnumValueA, RegDeleteValueA, RegOpenKeyExW, RegCreateKeyExA
> SHELL32.dll: SHGetMalloc, DragAcceptFiles, DragQueryFileW, DragQueryFileA, DragFinish, ShellExecuteW, ShellExecuteA, SHChangeNotify
> COMCTL32.dll: ImageList_SetBkColor, ImageList_Create, -, PropertySheetA, ImageList_Destroy, ImageList_ReplaceIcon, PropertySheetW
> comdlg32.dll: PrintDlgW, GetOpenFileNameA, PrintDlgA, GetSaveFileNameA, GetSaveFileNameW, ChooseColorW, ChooseColorA, ChooseFontW, ChooseFontA, PageSetupDlgW, GetOpenFileNameW, PageSetupDlgA
> VERSION.dll: GetFileVersionInfoW, VerQueryValueW, GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoSizeW
> ole32.dll: ReleaseStgMedium

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

Drongo · Конфигурация компьютера

Цитата akok:

c:\windows\system32\notepad.exe »

Да это аддон, собран с помощью конструктора на основе альтернативного текстового редактора. У меня AkelPad вместо блокнота. Там всё должно быть чисто.

inn8787 · Отправлено: **17:09, 01-07-2009** | #20

Drongo, Что же делать? Скриптыakok, выполнила - проблема осталась. Карантин отправила akok, в РМ. Качаю ComboFix, жду ответа от Касперского. Можно ли выполнять ComboFix и др. в безопасном режиме?