 |
|
|
28.04.2010, 15:27
|
#1 (ссылка) |
|
Новичок
Регистрация: 21.04.2010
Сообщений: 14
Репутация: 0
|
Опять гадость какую-то подцепил
Добрый день!
Нод лиценз определил много файлов пытающихся залезть в system32. Вроде бы все отчистил, но в реестре всяких записей лишних куча. MalWare тоже ничего больше не нашел. Своими руками не удолось попровить. Надеюсь на другом компе не также, еще не смотрел. Выкладываю логи, за ранее благодарен. Скачать virusinfo_syscure.zip с exfile.ru Скачать hijackthis.log с exfile.ru |
|
|
28.04.2010, 15:59
|
#2 (ссылка) | |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Цитата:
---------- Добавлено в 14:55 ---------- Предыдущее сообщение было написано в 14:43 ---------- Пофиксите для начала: Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\442986d7.exe,C:\WINDOWS\system32\615e097.exe,\\?\globalroot\systemroot\system32\onB9AJm.exe,\\?\globalroot\systemroot\system32\cR6Ionk.exe,\\?\globalroot\systemroot\system32\M08ODDb.exe,\\?\globalroot\systemroot\system32\YrCI5A4.exe,\\?\globalroot\systemroot\system32\N85bKUO.exe,\\?\globalroot\systemroot\system32\7a8N1Gl.exe,\\?\globalroot\systemroot\system32\LargIGZ.exe, Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\M08ODDb.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\LargIGZ.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\N85bKUO.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\7a8N1Gl.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\YrCI5A4.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\cR6Ionk.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\onB9AJm.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\LargIGZ.exe');
DeleteFile('\\?\globalroot\systemroot\system32\7a8N1Gl.exe');
DeleteFile('\\?\globalroot\systemroot\system32\N85bKUO.exe');
DeleteFile('\\?\globalroot\systemroot\system32\YrCI5A4.exe');
DeleteFile('\\?\globalroot\systemroot\system32\M08ODDb.exe');
DeleteFile('\\?\globalroot\systemroot\system32\onB9AJm.exe');
DeleteFile('C:\WINDOWS\system32\442986d7.exe');
DeleteFile('C:\WINDOWS\system32\615e097.exe');
DeleteFile('\\?\globalroot\systemroot\system32\7a8N1Gl.exe');
DeleteFile('\\?\globalroot\systemroot\system32\cR6Ionk.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. из папки AVZ закачать на www.exfile.ru и дать ссылку. ---------- Добавлено в 14:59 ---------- Предыдущее сообщение было написано в 14:55 ---------- Скачайте утилиту Random's System Information Tool (RSIT) http://images.malwareremoval.com/random/RSIT.exe Отключите антивирус и фаерволл. Запустите RSIT, выберите проверку файлов за последние три месяца и нажмите продолжить. После того как RSIT выполнит свою функцию, должны открыться два отчета log.txt и info.txt их необходимо прикрепить к сообщению, логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диск Последний раз редактировалось help?; 28.04.2010 в 16:29. |
|
|
|
|
28.04.2010, 16:26
|
#3 (ссылка) |
|
Новичок
Регистрация: 21.04.2010
Сообщений: 14
Репутация: 0
|
Вот это:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\442986d7.exe,C:\WINDOWS\system32\615e0 97.exe,\\?\globalroot\systemroot\system32\onB9AJm. exe,\\?\globalroot\systemroot\system32\cR6Ionk.exe ,\\?\globalroot\systemroot\system32\M08ODDb.exe,\\ ?\globalroot\systemroot\system32\YrCI5A4.exe,\\?\g lobalroot\systemroot\system32\N85bKUO.exe,\\?\glob alroot\systemroot\system32\7a8N1Gl.exe,\\?\globalr oot\systemroot\system32\LargIGZ.exe, ХайДжеком не фиксится. Скрипт АВЗ не получается выполнить, ругается на 4 строку. Логи RSIT прилагаю. Скачать info.txt с exfile.ru Скачать log.txt с exfile.ru |
|
|
|
28.04.2010, 16:47
|
#5 (ссылка) |
|
Новичок
Регистрация: 21.04.2010
Сообщений: 14
Репутация: 0
|
отмечаю строку в ХайДжеке. Нажимаю Фикс, вродебы процесс прошел. Перезагружаю комп, сканирую строка опять на месте. Логи сейчас приложу
---------- Добавлено в 15:47 ---------- Предыдущее сообщение было написано в 15:38 ---------- Странно, очень странно..... После выполнения исправленного Вами скрипта АВЗ, все стало нормально. Реестр чистый, ошибок никаких не выдает. 1. Логи еще нужны? 2. 5 раз подобную вещ ловлю за месяц, 3 раза сам отфиксил, 2 раза с вашей помощью. 3. Нод лиценз, базы новые, что можно сделать, чтобы не ловить подобные вещи? 4. Неужели Нод такой дырявый? |
|
|
|
28.04.2010, 16:58
|
#6 (ссылка) |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
1.Запустите RSIT, выберите проверку файлов за последние три месяца и нажмите продолжить.
После того как RSIT выполнит свою функцию, должны открыться два отчета log.txt и info.txt их необходимо прикрепить к сообщению, логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диск Логи РСИТ нужны,у вас еще есть зловреды  Сейчас каждый антивирус много пропускает.А просто фикс мало что даст.Только логи RSIT НУЖНЫ НОВЫЕ.И еще: quarantine.zip из папки AVZ закачать на www.exfile.ru и дать ссылку(появится после 2 скрипта).Его не видно
Последний раз редактировалось help?; 28.04.2010 в 17:06. |
|
|
|
28.04.2010, 17:05
|
#7 (ссылка) |
|
Новичок
Регистрация: 21.04.2010
Сообщений: 14
Репутация: 0
|
Спасибо Вам за ответы :-)
не то слово зловреды. Логи прилагаю. Скачать info.txt с exfile.ru Скачать log.txt с exfile.ru |
|
|
|
28.04.2010, 17:17
|
#8 (ссылка) | |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Цитата:
---------- Добавлено в 16:17 ---------- Предыдущее сообщение было написано в 16:08 ---------- Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) Код:
:Processes
explorer.exe
:Services
:Files
C:\DOCUME~1\egor\LOCALS~1\Temp\pinch3.exe
C:\WINDOWS\system32\OULzQo9.exe
C:\WINDOWS\system32\OHfwchC.exe
C:\WINDOWS\system32\GwDkh9w.exe
C:\WINDOWS\system32\n2EwrI9.exe
C:\WINDOWS\system32\qkH17OP.exe
C:\WINDOWS\system32\xTrl15g.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\XrXQgq5.exe
C:\WINDOWS\system32\Gm0pZw6.exe
C:\WINDOWS\system32\qwHgLAL.exe
C:\WINDOWS\system32\ROpUi8u.exe
C:\WINDOWS\system32\PhQ34M0.exe
C:\WINDOWS\system32\1nmAbqv.exe
:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\DOCUME~1\egor\LOCALS~1\Temp\pinch3.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18fb769c-8d00-11dc-833a-001a702e2ecf}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
Компьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение(без файлообменника). Повторите логи RSIT. C:\_OTMoveIt\MovedFiles Запакуйте и закачайте на www.exfile.ru дайте ссылку+ждем ссылку на quarantine.zip
|
|
|
|
| Ads | |
|
28.04.2010, 18:05
|
#9 (ссылка) |
|
Новичок
Регистрация: 21.04.2010
Сообщений: 14
Репутация: 0
|
All processes killed
========== PROCESSES ========== No active process named explorer.exe was found! ========== SERVICES/DRIVERS ========== ========== FILES ========== File/Folder C:\DOCUME~1\egor\LOCALS~1\Temp\pinch3.exe not found. C:\WINDOWS\system32\OULzQo9.exe moved successfully. C:\WINDOWS\system32\OHfwchC.exe moved successfully. C:\WINDOWS\system32\GwDkh9w.exe moved successfully. C:\WINDOWS\system32\n2EwrI9.exe moved successfully. C:\WINDOWS\system32\qkH17OP.exe moved successfully. C:\WINDOWS\system32\xTrl15g.exe moved successfully. C:\Program Files\Common Files\keylog.txt moved successfully. C:\WINDOWS\system32\XrXQgq5.exe moved successfully. C:\WINDOWS\system32\Gm0pZw6.exe moved successfully. C:\WINDOWS\system32\qwHgLAL.exe moved successfully. C:\WINDOWS\system32\ROpUi8u.exe moved successfully. C:\WINDOWS\system32\PhQ34M0.exe moved successfully. C:\WINDOWS\system32\1nmAbqv.exe moved successfully. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list\\C:\DOCUME~1\e gor\LOCALS~1\Temp\pinch3.exe deleted successfully. Registry key HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\L\ deleted successfully. Registry key HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{18fb769c-8d00-11dc-833a-001a702e2ecf}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18fb769 c-8d00-11dc-833a-001a702e2ecf}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: All Users.WINDOWS.0 User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User.WINDOWS.0 ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: egor ->Temp folder emptied: 412280 bytes ->Temporary Internet Files folder emptied: 15024897 bytes ->Flash cache emptied: 1527986 bytes User: egor.MSPUTNIK ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 184650 bytes ->Flash cache emptied: 1559643 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 608901 bytes User: LocalService.NT AUTHORITY User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService.NT AUTHORITY ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Администратор ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 152712 bytes %systemdrive% .tmp files removed: 487 bytes %systemroot% .tmp files removed: 2133863 bytes %systemroot%\System32 .tmp files removed: 5709 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 55768 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 129938 bytes RecycleBin emptied: 44760 bytes Total Files Cleaned = 21,00 mb OTM by OldTimer - Version 3.1.11.0 log created on 04282010_165817 Files moved on Reboot... Registry entries deleted on Reboot... Логи сейчас добавлю |
|
|
|
28.04.2010, 18:17
|
#11 (ссылка) |
|
Новичок
Регистрация: 21.04.2010
Сообщений: 14
Репутация: 0
|
Скачать MovedFiles.rar с exfile.ru
Скачать quarantine.zip с exfile.ru Скачать info.txt с exfile.ru Скачать log.txt с exfile.ru p.s. и каг у Вас терпения хватает с нами возиться :-)))))))))) |
|
|
|
28.04.2010, 18:35
|
#12 (ссылка) |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Обновите:
IE(даже если не пользуетесь!); Adobe MySQL Server. ---------- Добавлено в 17:32 ---------- Предыдущее сообщение было написано в 17:30 ---------- http://exfile.ru/97401 Скачать,распаковать и нажать Clean up,это чтобы следы подчистить от OTM by OldTimer. ---------- Добавлено в 17:35 ---------- Предыдущее сообщение было написано в 17:32 ---------- ВНИМАНИЕ!!!Поменяйте все пароли!За вами АКТИВНО следили! |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Подцепил вирусы. | Pavlucha | Безопасность | 79 | 08.01.2011 23:27 |
| И опять внешний HDD | Pro-sport | Неисправности, настройка | 7 | 08.01.2011 02:29 |
| Опять В КОНТАКТЕ | sonn389 | Безопасность | 4 | 30.06.2010 03:03 |
| Подцепил порно баннер на рабочий стол | ALTchel | Безопасность | 4 | 21.03.2010 23:43 |
| Подцепил порнушный рекламный баннер | Eugen044 | Безопасность | 3 | 21.03.2010 20:36 |
| Опять про оперативку | KREG | Железо | 1 | 18.03.2010 16:31 |
| Подцепил вирус, теперь не могу его удалить, где можно взять wmsrvc.exe | WALL | Безопасность | 10 | 21.02.2010 14:35 |
| Подцепил виряк | Romull | Безопасность | 1 | 10.02.2010 21:14 |
| я опять в раздумьях над cpu | sankoebr | Выбор комплектующих | 7 | 06.08.2009 15:42 |
| Опять про бп:) | sankoebr | Железо | 23 | 31.07.2009 17:15 |
| что за гадость servises.exe подскажите | rt752k | Безопасность | 19 | 21.07.2009 14:15 |
| гадость | Victor84 | Безопасность | 2 | 27.11.2008 19:06 |
