12.05.2010, 02:41 | #1 (ссылка) |
Новичок
Регистрация: 11.05.2010
Сообщений: 5
Репутация: 0
|
Проверьте пожалуйста логи
Помогите устранить проблемы с вирусами.
В основном проблема с Malware Doctor + думаю там полно ещё вирусов. Выполнил скрипты утилитками. 1) AVZ. virusinfo_syscure.zip http://exfile.ru/99808 2) HiJackThis. hijackthis.log http://exfile.ru/99809 Заранее огромное спасибо. |
12.05.2010, 05:08 | #2 (ссылка) |
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
Вы Лучшие СПС, богатый у вас "улов"
1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк Код:
F3 - REG:win.ini: run=C:\WINDOWS\system32\portmap.exe O4 - HKLM\..\Run: [Windows System Guard] C:\Documents and Settings\Администратор\Application Data\dlll.exe O4 - HKLM\..\RunOnce: [*Restore] C:\WINDOWS\system32\restore\rstrui.exe -c O4 - HKCU\..\Run: [gotnewupdate005.exe] C:\Documents and Settings\Администратор\Application Data\A1BA21EE21A6D8A1FDCE158989E33B1B\gotnewupdate005.exe O4 - HKCU\..\Run: [CaKaZuMoMkaDVa] C:\fish\ville\nao4ja.exe O4 - Startup: Quick Office.lnk = C:\WINDOWS\system32\portmap.exe Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\documents and settings\Администратор\gr3at.exe'); TerminateProcessByName('c:\documents and settings\Администратор\application data\a1ba21ee21a6d8a1fdce158989e33b1b\gotnewupdate005.exe'); DeleteFile('{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job'); DeleteFile('{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job'); DelCLSID('7MPEKAD-841A3-3MAJ5-Z2LGK-MWL3Y'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\Quick Office.lnk'); DeleteFile('c:\documents and settings\Администратор\application data\a1ba21ee21a6d8a1fdce158989e33b1b\gotnewupdate005.exe'); DeleteFile('c:\documents and settings\Администратор\gr3at.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\A1BA21EE21A6D8A1FDCE158989E33B1B\gotnewupdate005.exe'); DeleteFile('C:\Documents and Settings\Администратор\gr3at.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gotnewupdate005.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\dlll.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Guard'); DeleteFile('C:\WINDOWS\system32\portmap.exe'); DeleteFile('C:\fish\ville\nao4ja.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CaKaZuMoMkaDVa'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\L24RLTB8\1005pskds[1].exe'); DeleteFile('C:\Documents and Settings\Администратор\bog56.exe'); DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\pfx963.tmp.exe'); DeleteFile('C:\Documents and Settings\Администратор\fafa56.exe'); DeleteFile('C:\Documents and Settings\Администратор\jsajweahfsq.exe'); DeleteFile('C:\Documents and Settings\Администратор\msylisu.exe'); DeleteFile('C:\Documents and Settings\Администратор\sdak3a.exe'); DeleteFile('C:\System Volume Information\_restore{E6FA7E08-231F-4D68-95CE-A568ADE615DE}\RP382\A0444168.exe'); DeleteFile('C:\System Volume Information\_restore{E6FA7E08-231F-4D68-95CE-A568ADE615DE}\RP382\A0444221.exe'); DeleteFile('C:\System Volume Information\_restore{E6FA7E08-231F-4D68-95CE-A568ADE615DE}\RP384\A0444278.exe'); DeleteFile('C:\System Volume Information\_restore{E6FA7E08-231F-4D68-95CE-A568ADE615DE}\RP389\A0447957.exe'); DeleteFile('C:\System Volume Information\_restore{E6FA7E08-231F-4D68-95CE-A568ADE615DE}\RP414\A0482363.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. у вас заблокирована возможность обновления винды - нужно ли его восстановить? потому как не помешало бы обновить винду хотя бы до СП3, а то частенько будете мучаться с вирями такого плана. Последний раз редактировалось romul781; 12.05.2010 в 05:19. |
13.05.2010, 05:28 | #3 (ссылка) |
Новичок
Регистрация: 11.05.2010
Сообщений: 5
Репутация: 0
|
1) AVZ. virusinfo_syscure.zip
http://exfile.ru/100061 2) HiJackThis. hijackthis.log http://exfile.ru/100062 но я в HiJackThis не нашёл. F3 - REG:win.ini: run=C:\WINDOWS\system32\portmap.exe А без потери обновить или восстановить можно? А то уезжаю снова скоро в командировку.Хочу установить после чистки антивирус.А то подружка снова нахватает всего) Malware Doctor вроде бы не вылазит.Огромное спасибо) Последний раз редактировалось Вы Лучшие СПС; 13.05.2010 в 05:45. |
13.05.2010, 09:19 | #4 (ссылка) |
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Выполните скрипт в avz
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Kgumaa.exe',''); QuarantineFile('c:\TEMP\Kn2.exe',''); DelBHO('{61012D92-4CCC-419C-8B4B-C271819B41DC}'); DeleteFile('C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job'); DeleteFile('C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job'); DeleteFile('C:\WINDOWS\system32\appmgmt.dll'); DeleteFile('c:\TEMP\Kn2.exe'); DeleteFile('C:\WINDOWS\Kgumaa.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Выполнить скрипт в AVZ. Код:
var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Сделайте новые логи. |
14.05.2010, 01:45 | #5 (ссылка) |
Новичок
Регистрация: 11.05.2010
Сообщений: 5
Репутация: 0
|
1) AVZ
http://exfile.ru/100296 2) HiJackThis http://exfile.ru/100295 Заметил то что в "Установка и удаление программ"... Виден тот же Malware Doctor. Но пока ничего не стал с ним делать. Или попробовать удалить? Просто боюсь.. вдруг снова активируется. За остальное.Огромное спасибо. |
14.05.2010, 11:32 | #6 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Вы Лучшие СПС,
В меню avz: Сервис-Поиск данных в реестре. В поле "Образец" введите gotnewupdate005.exe и запустите. По окончании сохраните протокол сканирования (нажав кнопку "Дискетка") и пришлите лог. |
15.05.2010, 02:18 | #7 (ссылка) | |
Новичок
Регистрация: 11.05.2010
Сообщений: 5
Репутация: 0
|
Цитата:
15 раз перезапускал,что бы всё загрузилось.. Поискал данные в реестре. Вот лог его. http://exfile.ru/100508 А стандартный скрипт №2 не получается выполнить.Постоянно зависает примерно в середине проверке. Винду это хорошо обновить) Но вот с утра еду в командировку и буду к вам заглядывать с ноута,а подруге через вебку говорить что и как. Ещё попытался установить перед уездом Outpost Security Suite Pro Но он тоже не открывается,что-то всё таки блокирует его. Установился.Но не открывается. |
|
16.05.2010, 20:49 | #8 (ссылка) |
Новичок
Регистрация: 11.05.2010
Сообщений: 5
Репутация: 0
|
Лог AVZ выполнил http://exfile.ru/100811
|
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Проверьте логи, пожалуйста | ~Данил~ | Безопасность | 2 | 16.12.2010 19:12 |
Проверьте логи пожалуйста | beautyrinata | Безопасность | 6 | 14.12.2010 00:15 |
Проверьте пожалуйста логи. | Maxco | Безопасность | 1 | 26.11.2010 08:15 |
Проверьте пожалуйста логи! | petek | Безопасность | 4 | 23.11.2010 11:32 |
Проверьте логи пожалуйста | DimkO | Безопасность | 5 | 16.05.2010 20:48 |
Пожалуйста, проверьте логи | allby | Безопасность | 20 | 14.05.2010 01:11 |
Проверьте пожалуйста логи | Gumm | Безопасность | 8 | 13.05.2010 16:13 |
Проверьте пожалуйста мои логи | ksandr1305 | Безопасность | 4 | 13.05.2010 12:22 |
Проверьте пожалуйста логи | Fantik46 | Безопасность | 12 | 12.05.2010 19:20 |
Проверьте, пожалуйста, логи | Niv | Безопасность | 1 | 12.05.2010 04:49 |
Проверьте пожалуйста логи | Aurika | Безопасность | 2 | 16.04.2010 10:52 |