 |
|
|
12.05.2010, 22:09
|
#1 (ссылка) |
|
Подозрительная личность
Регистрация: 12.05.2010
Сообщений: 9
Репутация: -1
|
Подозрения на вирус, помогите
Доброго времени суток. Помогите пожалуйста с проблемой, есть подозрения на вирус AVG отказывается видеть, находит два файла и тоне удаляет! AVZ сгенерировала архив, который можно найти по ссылке http://exfile.ru/99982 И текстовый файл из HijackThis, который можно найти по ссылки http://exfile.ru/99984 Заранее благодарен.
|
|
|
12.05.2010, 22:15
|
#2 (ссылка) |
|
Стажёр
Регистрация: 11.04.2010
Сообщений: 977
Репутация: 96
|
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1909684062-0825075716-943620329-1859\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1909684062-0825075716-943620329-1859\wmfcgr.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить скрипт в AVZ. Код:
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Сделайте новые логи. |
|
|
|
12.05.2010, 22:45
|
#3 (ссылка) |
|
Подозрительная личность
Регистрация: 12.05.2010
Сообщений: 9
Репутация: -1
|
Вы увидите папку с архивом. Это - карантин.
Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Да я увидел эту папку(карантин), но она весит 22 байта, залез в неё, там архив (а архив пуст) 
|
|
|
|
12.05.2010, 22:50
|
#4 (ссылка) |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.
1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Сделайте новые логи. |
|
|
|
12.05.2010, 23:56
|
#7 (ссылка) |
|
Подозрительная личность
Регистрация: 12.05.2010
Сообщений: 9
Репутация: -1
|
Что я не правельно делаю..... запускаю Combofix Вылитает окно "запуск то имени другого пользователя" жму ОК и тут выдаёт ошибку о том что нет у меня прав
---------- Добавлено в 22:29 ---------- Предыдущее сообщение было написано в 22:23 ---------- И переименовывал combofix в combo-fix, бесполезно ---------- Добавлено в 22:56 ---------- Предыдущее сообщение было написано в 22:29 ---------- вот ещё что пишет 32788R22FWJFW\hidetc.exe "нет прав доступа к этому объекту!" |
|
|
|
13.05.2010, 11:02
|
#9 (ссылка) |
|
Подозрительная личность
Регистрация: 12.05.2010
Сообщений: 9
Репутация: -1
|
snifer67,
http://exfile.ru/100079 Зарание спасибо! |
|
|
|
13.05.2010, 11:20
|
#12 (ссылка) |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
finol79, выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-1909684062-0825075716-943620329-1859\wmfcgr.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Cкачайте Gmer . Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски,также поставьте галочки под всеми пунктами и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. |
|
|
|
13.05.2010, 19:02
|
#13 (ссылка) |
|
Подозрительная личность
Регистрация: 12.05.2010
Сообщений: 9
Репутация: -1
|
лог с АВЗ http://exfile.ru/100196
лог с gmer http://exfile.ru/100197 Пришлоси перезагрузить комп и стала вылитать ошибка ("cmdagent.exe-ошибка приложения" Исключение неизвестное программное исключение (0х0000417) в приложение по адресу 0х00435е64) |
|
|
|
13.05.2010, 19:40
|
#14 (ссылка) |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Смотрю логи.
---------- Добавлено в 18:40 ---------- Предыдущее сообщение было написано в 18:10 ---------- Выполните скрипт в авз: Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\rbstbtwi.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1909684062-0825075716-943620329-1859\wmfcgr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1909684062-0825075716-943620329-1859\wmfcgr.exe');
DeleteFile('C:\WINDOWS\jjdrive32.exe');
DeleteFile('C:\WINDOWS\system32\rbstbtwi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_ServiceKill('zsolhzi');
BC_ServiceKill('ohqwiguqm');
BC_ServiceKill('efvxjabmu');
BC_ServiceKill('dqnxeqeui');
BC_ServiceKill('bykhuspt');
BC_ServiceKill('WmiApRpl');
BC_ServiceKill('TlntSvr');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.
Выполнить скрипт в AVZ. Код:
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\1quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Есть подозрения на вирус посмотрите логи! | DRAGON_PRO_DOTA | Безопасность | 14 | 16.01.2011 17:57 |
| Посмотрите логи есть подозрения на вирус ! | DRAGON_PRO_DOTA | Безопасность | 11 | 27.11.2010 12:16 |
| Очень низкая скорость скачивания файлов из интернета. Подозрения на вирус | JazzMan88 | Безопасность | 1 | 09.09.2010 23:14 |
| Подозрения что остался вирус | Миха345 | Безопасность | 11 | 04.08.2010 20:34 |
| Есть подозрения на вирус | Olechka93 | Безопасность | 20 | 22.07.2010 17:35 |
| подозрения на вирус | Tasha | Безопасность | 1 | 18.07.2010 14:34 |
| есть подозрения!!! | шалунья | Безопасность | 6 | 08.06.2010 19:06 |
| Подозрения на вирус, проверьте плиз логи | Dunhell | Безопасность | 2 | 27.03.2010 19:18 |
| Есть подозрения что у меня вирус! | НеЭксперт | Windows 7 | 9 | 09.03.2010 20:01 |
| У меня есть подозрения на вирус в компе | Гризлик | Безопасность | 21 | 05.11.2009 22:29 |
| Подозрения на вирус. Выскакивает табличка. | Devil | Безопасность | 3 | 30.09.2009 22:54 |
| Подозрения на вирусы. | winshelp | Безопасность | 5 | 27.07.2009 19:06 |
