Проверьте логи...

DarkKiber · 30.12.2010, 22:20

AVZ-http://webfile.ru/5020476
Hijack-http://webfile.ru/5020477

goredey · 30.12.2010, 22:30

DarkKiber, активного заражения я не вижу. В чём проблема?

Гризлик · 31.12.2010, 08:57

DarkKiber, Базы обновите в AVZ и переделайте лог

DarkKiber · 31.12.2010, 12:58

AVZ-http://webfile.ru/5021085
заметил траблу.
Переодический в папке system volume information на диске С,появляется вирус...
хОТЯ,что-то мне подсказывает,что это может быть и не вирус....
вообщем посмотрите..
АВЗ,кстати увидел его...

---------- Добавлено в 11:58 ---------- Предыдущее сообщение было написано в 10:40 ----------

ЛОГ ПЕРЕДЕЛАН!

Strage_297 · 31.12.2010, 13:26

DarkKiber,

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('appdrvrem01');
 QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
 QuarantineFile('C:\System Volume Information\_restore{D4C4AA60-FDE3-45A5-8A6C-DCCB2ADFAD5F}\RP95\A0032636.exe','');
 DeleteFile('C:\System Volume Information\_restore{D4C4AA60-FDE3-45A5-8A6C-DCCB2ADFAD5F}\RP95\A0032636.exe');
 BC_DeleteFile('C:\WINDOWS\System32\appdrvrem01.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

DarkKiber · 31.12.2010, 14:28

Перед тем,как сделать скрипт я хотел спросить,ПРОВЕРЕННЫЕ люди,одобряют этот скрипт?

---------- Добавлено в 13:28 ---------- Предыдущее сообщение было написано в 13:24 ----------

делаю скрипт...

~Данил~ · 31.12.2010, 14:29

DarkKiber, делайте....

DarkKiber · 31.12.2010, 14:43

http://webfile.ru/5021259
Лог 2-ого скрипта AVZ...

goredey · 31.12.2010, 15:18

DarkKiber, подготовьте ещё такой лог Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

DarkKiber · 31.12.2010, 16:48

info-http://webfile.ru/5021407
LOG-http://webfile.ru/5021410

goredey · 31.12.2010, 17:22

DarkKiber,

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кнопку мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services
appdrvrem01
:Files
C:\WINDOWS\system32\appdrvrem01.exe
C:\WINDOWS\system32\drivers\appdrv01.sys
C:\WINDOWS\IsUn0419.exe
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под жёлтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зелёная панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

DarkKiber · 31.12.2010, 20:33

ссылки не работают,качаю с и-нета

---------- Добавлено в 19:33 ---------- Предыдущее сообщение было написано в 19:26 ----------

http://webfile.ru/5021637
Сделал,смотрите...

goredey · 31.12.2010, 20:46

Цитата:

Сообщение от DarkKiber

ссылки не работают,качаю с и-нета

Спасибо

Давайте для контроля
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

DarkKiber · 31.12.2010, 20:52

я хотел спросить,а папку проги OTMoveIt3
надо сносить?
А то мешается..
а прогу я уже снёс...

---------- Добавлено в 19:52 ---------- Предыдущее сообщение было написано в 19:51 ----------

контроль попозже проведу)
Как я понял,основная зараз ушла и это главное....

goredey · 31.12.2010, 21:06

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

30.12.2010, 22:20	#1 (ссылка)
DarkKiber Новичок Регистрация: 04.11.2010 Сообщений: 167 Репутация: 0	Проверьте логи... AVZ-http://webfile.ru/5020476 Hijack-http://webfile.ru/5020477

31.12.2010, 13:26	#5 (ссылка)
Strage_297 Новичок Регистрация: 29.12.2010 Сообщений: 617 Репутация: 37	DarkKiber, Выполните скрипт: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('appdrvrem01'); QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe',''); QuarantineFile('C:\System Volume Information\_restore{D4C4AA60-FDE3-45A5-8A6C-DCCB2ADFAD5F}\RP95\A0032636.exe',''); DeleteFile('C:\System Volume Information\_restore{D4C4AA60-FDE3-45A5-8A6C-DCCB2ADFAD5F}\RP95\A0032636.exe'); BC_DeleteFile('C:\WINDOWS\System32\appdrvrem01.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

31.12.2010, 17:22	#11 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	DarkKiber, Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кнопку мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) Код: :Processes explorer.exe :Services appdrvrem01 :Files C:\WINDOWS\system32\appdrvrem01.exe C:\WINDOWS\system32\drivers\appdrv01.sys C:\WINDOWS\IsUn0419.exe :Reg :Commands [purity] [emptytemp] [start explorer] [Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под жёлтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зелёная панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверьте логи	Слепой Пью	Безопасность	10	12.01.2011 23:33
проверьте пож-та логи	tajson	Безопасность	4	11.01.2011 20:35
проверьте логи	lega	Безопасность	1	31.12.2010 15:56
Проверьте логи	DarkKiber	Безопасность	4	15.12.2010 23:44
Проверьте логи	DarkKiber	Безопасность	1	06.12.2010 20:24
Проверьте мои логи	DarkKiber	Безопасность	12	17.11.2010 21:45
Проверьте логи AVZ	Евгений Петрович	Безопасность	3	05.11.2010 06:00
проверьте логи	владислав69	Безопасность	1	23.09.2010 22:30
Проверьте логи	Шелкопряд	Безопасность	0	09.08.2010 12:04
Проверьте логи	бург	Безопасность	9	31.03.2010 22:18
Проверьте логи AVZ	marishinka	Безопасность	1	08.01.2010 16:19
Проверьте логи!!!	Vike	Безопасность	1	06.01.2010 09:47

30.12.2010, 22:30	#2 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	DarkKiber, активного заражения я не вижу. В чём проблема?

31.12.2010, 08:57	#3 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	DarkKiber, Базы обновите в AVZ и переделайте лог

31.12.2010, 12:58	#4 (ссылка)
DarkKiber Новичок Регистрация: 04.11.2010 Сообщений: 167 Репутация: 0	AVZ-http://webfile.ru/5021085 заметил траблу. Переодический в папке system volume information на диске С,появляется вирус... хОТЯ,что-то мне подсказывает,что это может быть и не вирус.... вообщем посмотрите.. АВЗ,кстати увидел его... ---------- Добавлено в 11:58 ---------- Предыдущее сообщение было написано в 10:40 ---------- ЛОГ ПЕРЕДЕЛАН!

31.12.2010, 14:28	#6 (ссылка)
DarkKiber Новичок Регистрация: 04.11.2010 Сообщений: 167 Репутация: 0	Перед тем,как сделать скрипт я хотел спросить,ПРОВЕРЕННЫЕ люди,одобряют этот скрипт? ---------- Добавлено в 13:28 ---------- Предыдущее сообщение было написано в 13:24 ---------- делаю скрипт...

31.12.2010, 14:29	#7 (ссылка)
~Данил~ Эксперт Регистрация: 28.08.2010 Сообщений: 11,078 Записей в блоге: 5 Репутация: 925	DarkKiber, делайте....

31.12.2010, 14:43	#8 (ссылка)
DarkKiber Новичок Регистрация: 04.11.2010 Сообщений: 167 Репутация: 0	http://webfile.ru/5021259 Лог 2-ого скрипта AVZ...

31.12.2010, 15:18	#9 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	DarkKiber, подготовьте ещё такой лог Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

31.12.2010, 16:48	#10 (ссылка)
DarkKiber Новичок Регистрация: 04.11.2010 Сообщений: 167 Репутация: 0	info-http://webfile.ru/5021407 LOG-http://webfile.ru/5021410

31.12.2010, 20:33	#12 (ссылка)
DarkKiber Новичок Регистрация: 04.11.2010 Сообщений: 167 Репутация: 0	ссылки не работают,качаю с и-нета ---------- Добавлено в 19:33 ---------- Предыдущее сообщение было написано в 19:26 ---------- http://webfile.ru/5021637 Сделал,смотрите...

31.12.2010, 20:52	#14 (ссылка)
DarkKiber Новичок Регистрация: 04.11.2010 Сообщений: 167 Репутация: 0	я хотел спросить,а папку проги OTMoveIt3 надо сносить? А то мешается.. а прогу я уже снёс... ---------- Добавлено в 19:52 ---------- Предыдущее сообщение было написано в 19:51 ---------- контроль попозже проведу) Как я понял,основная зараз ушла и это главное....

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

31.12.2010, 21:06	#15 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Создайте новую контрольную точку восстановления и удалите зараженную: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендую вам придерживаться этих правил: 1.Всегда работайте только под обычным пользователем! 2.Используйте браузер Firefox с дополнением NoScript Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения 3.Устанавливайте обновления и патчи Windows. 4.Ежедневно обновляйте антивирусные базы. 5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).