21.01.2011, 17:59 | #1 (ссылка) |
Новичок
Регистрация: 21.01.2011
Сообщений: 25
Репутация: 0
|
Помогите с вирусом
AVZ нашел замененный диспетчер, ругается на файл winfixer.exe.
регулярно появляется сообщение "инструкция по адресу ..... обратилась по адресу... памятьне может быть read" после чего комп зависает лог сделал, как его тут выложить? |
21.01.2011, 20:21 | #4 (ссылка) |
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
Выполните скрипт:
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\wjdrive32.exe'); StopService('mkdrv'); QuarantineFile('C:\WINDOWS\System32\drivers\pxrts.sys',''); QuarantineFile('C:\WINDOWS\system32\63.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\svchost.exe',''); QuarantineFile('C:\WINDOWS\sewd.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\pxkbf.sys',''); QuarantineFile('c:\windows\wjdrive32.exe',''); DeleteFile('c:\windows\wjdrive32.exe'); DeleteFile('C:\WINDOWS\sewd.sys'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe'); DeleteFile('C:\WINDOWS\system32\63.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\svchost.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); DeleteService('mkdrv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost'); RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'TaskMan'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run-','Microsoft Driver Setup'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Выполните скрипт: Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме. Результаты ответа, сообщите здесь, в теме. Сделайте 3-й стандартный скрипт и приложите к сообщению. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.Сами ничего не удаляйте. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. |
22.01.2011, 01:48 | #5 (ссылка) |
Новичок
Регистрация: 21.01.2011
Сообщений: 25
Репутация: 0
|
большое спасибо! пошел выполнять
---------- Добавлено в 00:48 ---------- Предыдущее сообщение было написано Вчера в 22:44 ---------- 1. ответ касперского: bcqr00001.dat, bcqr00002.dat, bcqr00013.dat, bcqr00014.dat, pxkbf.sys, pxrts.sys Файлы в процессе обработки. bcqr00005.dat, bcqr00006.dat, winfixer.exe - Trojan.Win32.Pincav.awnp wjdrive32.exe - Net-Worm.Win32.Kolab.sav 2. выполнение 3-го скрипта http://ifolder.ru/21472739 3. проверка Malwarebytes : Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Версия базы данных: 5566 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 22.01.2011 0:22:28 mbam-log-2011-01-22 (00-22-20).txt Тип сканирования: Полное сканирование (C:\|D:\|F:\|G:\|) Просканированные объекты: 226561 Времени прошло: 1 часов, 13 минут, 13 секунд Заражённые процессы в памяти: 1 Заражённые модули в памяти: 0 Заражённые ключи в реестре: 4 Заражённые параметры в реестре: 5 Объекты реестра заражены: 5 Заражённые папки: 0 Заражённые файлы: 6 Заражённые процессы в памяти: c:\WINDOWS\wjdrive32.exe (Trojan.Agent) -> 1988 -> No action taken. Заражённые модули в памяти: (Вредоносных программ не обнаружено) Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\zipdrivers (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\zipdrivers (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_ZIPDRIVERS (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\zipdrivers (Trojan.Agent) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Value: idln2 -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Documents and Settings\Admin\Application Data\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Заражённые папки: (Вредоносных программ не обнаружено) Заражённые файлы: c:\WINDOWS\wjdrive32.exe (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\hesc.exe (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\YVNEBUPG\ms[1].exe (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\рабочий стол\avz4\quarantine\2011-01-21\avz00004.dta (Trojan.Scar) -> No action taken. c:\program files\total commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken. c:\documents and settings\Admin\application data\microsoft\stor.cfg (Malware.Trace) -> No action taken. вот как то так... |
22.01.2011, 15:27 | #6 (ссылка) |
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
Удалите все, что нашел MBAM.
Выполните скрипт: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\wjdrive32.exe'); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe',''); QuarantineFile('c:\windows\wjdrive32.exe',''); BC_DeleteFile('c:\windows\wjdrive32.exe'); BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'TaskMan'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. + Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." |
22.01.2011, 23:35 | #7 (ссылка) |
Новичок
Регистрация: 21.01.2011
Сообщений: 25
Репутация: 0
|
спасибо!! делаю
---------- Добавлено в 22:35 ---------- Предыдущее сообщение было написано в 20:45 ---------- все сделал 1. лог AVZ http://ifolder.ru/21485491 2. лог combofix http://ifolder.ru/21485523 |
23.01.2011, 00:43 | #8 (ссылка) |
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
Я Вас просил не карантин выслать, а лог AVZ, переделывайте!
---------- Добавлено в 01:43 ---------- Предыдущее сообщение было написано в 01:09 ---------- Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код:
KillAll:: File:: c:\documents and settings\Admin\Application Data\bowcav.exe c:\windows\system32\47.exe c:\windows\system32\AutoRun.inf c:\windows\system32\drivers\etc\host2 C:\WINDOWS\system32\43.exe C:\WINDOWS\system32\00.exe C:\DOCUME~1\Admin\LOCALS~1\Temp\catchme.sys c:\windows\del.bat c:\windows\ggdrive32.exe c:\documents and settings\Admin\pfs.exe c:\recycler\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe c:\windows\system32\drivers\vdqzndi3.sys c:\windows\system32\userini.exe c:\windows\wjdrive32.exe Folder:: c:\documents and settings\Admin\Application Data\download2 Registry:: Reboot:: Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Проверьте на VirusTotal: Код:
c:\windows\regedit.exe Последний раз редактировалось Strage_297; 23.01.2011 в 00:56. |
Ads | |
23.01.2011, 04:13 | #9 (ссылка) |
Новичок
Регистрация: 21.01.2011
Сообщений: 25
Репутация: 0
|
сорри. надеюсь сейчас получилось... http://ifolder.ru/21486333
---------- Добавлено в 00:07 ---------- Предыдущее сообщение было написано Вчера в 23:43 ---------- лог combofix - http://ifolder.ru/21486528 ---------- Добавлено в 00:08 ---------- Предыдущее сообщение было написано в 00:07 ---------- virus Total еще проверяет... ---------- Добавлено в 00:13 ---------- Предыдущее сообщение было написано в 00:08 ---------- virus total написал что такой файл уже проверялся ранее. что делать? ---------- Добавлено в 03:13 ---------- Предыдущее сообщение было написано в 00:13 ---------- ответ от virus total http://www.virustotal.com/file-scan/...9c6-1295730177 |
23.01.2011, 14:32 | #12 (ссылка) |
Новичок
Регистрация: 29.12.2010
Сообщений: 617
Репутация: 37
|
Выполните скрипт:
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('catchme'); SetServiceStart('catchme', 4); QuarantineFile('C:\WINDOWS\system32\81.exe',''); QuarantineFile('C:\WINDOWS\system32\68.exe',''); QuarantineFile('C:\WINDOWS\system32\65.exe',''); QuarantineFile('C:\WINDOWS\system32\60.exe',''); QuarantineFile('C:\WINDOWS\system32\58.exe',''); QuarantineFile('C:\WINDOWS\system32\56.exe',''); QuarantineFile('C:\WINDOWS\system32\54.exe',''); QuarantineFile('C:\WINDOWS\system32\46.exe',''); QuarantineFile('C:\WINDOWS\system32\28.exe',''); QuarantineFile('C:\WINDOWS\system32\26.exe',''); QuarantineFile('C:\WINDOWS\system32\24.exe',''); QuarantineFile('C:\WINDOWS\system32\22.exe',''); QuarantineFile('C:\WINDOWS\system32\12.exe',''); QuarantineFile('C:\WINDOWS\system32\08.exe',''); QuarantineFile('C:\WINDOWS\system32\05.exe',''); QuarantineFile('C:\WINDOWS\system32\00.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('C:\WINDOWS\ggdrive32.exe',''); QuarantineFile('C:\ComboFix\catchme.sys',''); BC_DeleteFile('C:\ComboFix\catchme.sys'); BC_DeleteFile('C:\WINDOWS\ggdrive32.exe'); BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); BC_DeleteFile('C:\WINDOWS\system32\00.exe'); BC_DeleteFile('C:\WINDOWS\system32\05.exe'); BC_DeleteFile('C:\WINDOWS\system32\08.exe'); BC_DeleteFile('C:\WINDOWS\system32\12.exe'); BC_DeleteFile('C:\WINDOWS\system32\22.exe'); BC_DeleteFile('C:\WINDOWS\system32\24.exe'); BC_DeleteFile('C:\WINDOWS\system32\26.exe'); BC_DeleteFile('C:\WINDOWS\system32\28.exe'); BC_DeleteFile('C:\WINDOWS\system32\46.exe'); BC_DeleteFile('C:\WINDOWS\system32\54.exe'); BC_DeleteFile('C:\WINDOWS\system32\56.exe'); BC_DeleteFile('C:\WINDOWS\system32\58.exe'); BC_DeleteFile('C:\WINDOWS\system32\60.exe'); BC_DeleteFile('C:\WINDOWS\system32\65.exe'); BC_DeleteFile('C:\WINDOWS\system32\68.exe'); BC_DeleteFile('C:\WINDOWS\system32\81.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'TaskMan'); DeleteService('catchme'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код:
KillAll:: File:: C:\ComboFix\catchme.sys C:\WINDOWS\ggdrive32.exe c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe C:\WINDOWS\system32\00.exe C:\WINDOWS\system32\05.exe C:\WINDOWS\system32\08.exe C:\WINDOWS\system32\12.exe C:\WINDOWS\system32\22.exe C:\WINDOWS\system32\24.exe C:\WINDOWS\system32\26.exe C:\WINDOWS\system32\28.exe C:\WINDOWS\system32\46.exe C:\WINDOWS\system32\54.exe C:\WINDOWS\system32\56.exe C:\WINDOWS\system32\58.exe C:\WINDOWS\system32\60.exe C:\WINDOWS\system32\65.exe C:\WINDOWS\system32\68.exe C:\WINDOWS\system32\81.exe Folder:: Registry:: Reboot:: Запустите полную проверку утилитой Dr.Web CureIt!. После того как сохранился новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Сделайте 3-й стандартный скрипт и приложите к сообщению. Последний раз редактировалось Strage_297; 23.01.2011 в 14:42. |
23.01.2011, 18:02 | #13 (ссылка) |
Новичок
Регистрация: 21.01.2011
Сообщений: 25
Репутация: 0
|
CureIt выковырял 10 вирусов - все удалил.
лог combofix - http://ifolder.ru/21494921 лог AVZ - http://ifolder.ru/21494882 ---------- Добавлено в 17:02 ---------- Предыдущее сообщение было написано в 16:56 ---------- ggdrive32.exe все равно появляется в процессах |
23.01.2011, 23:20 | #15 (ссылка) | ||
Новичок
Регистрация: 21.01.2011
Сообщений: 25
Репутация: 0
|
Цитата:
Цитата:
я в этом нихрена не разбираюсь. первый раз столкнулся с таким лечением. сейчас все исправлю |
||
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Помогите с вирусом в папке LOG? пожалуйста | Малахова | Безопасность | 13 | 23.01.2011 15:30 |
Помогите с вирусом | temmkalan | Безопасность | 1 | 16.07.2010 17:53 |
Помогите с вирусом | Azam | Безопасность | 7 | 14.06.2010 16:08 |
помогите решить проблему с вирусом | Meret | Безопасность | 4 | 10.02.2010 13:43 |
помогите решить проблему с вирусом | Бэм | Безопасность | 6 | 07.02.2010 11:01 |
Ребята помогите разобратся с вирусом | Максим Алексеенко | Безопасность | 3 | 09.01.2010 21:12 |
Помогите с вирусом пожалуйста | Lonedrow | Безопасность | 19 | 16.11.2009 22:36 |
Помогите с вирусом, переадресует меня постоянно ( | legran | Безопасность | 5 | 01.10.2009 22:02 |
Помогите справиться с вирусом | sluch | Безопасность | 26 | 14.09.2009 17:32 |
помогите, Проблемма с вирусом | Dr.strange | Безопасность | 5 | 11.09.2009 17:37 |
Помогите с вирусом! | Котенок_олень | Безопасность | 25 | 26.07.2009 19:02 |
Помогите справиться с вирусом | vanyatka | Безопасность | 1 | 28.05.2009 01:27 |