Подозрение на вирусы проверьте логи - Страница 7

Vvvyg · 27.09.2011, 23:45

Jaguar1, мда... Скрипт выполнился, перезагрузка была?
UAC выключите временно, и попробуйте ещё раз.

---------- Добавлено в 22:26 ---------- Предыдущее сообщение было написано в 22:20 ----------

Так, стоп, одну вещь проглядел, сейчас скрипт переделаю.

---------- Добавлено в 22:45 ---------- Предыдущее сообщение было написано в 22:26 ----------

Jaguar1, отключите UAC и делайте, как в предыдущий раз, содержимое CFScript.txt ниже:

Код:

KillAll::

NetSvc::
nex0
nex1
nex2
nex3
nex4
nex5
nex6
nex7
netsvcs_0x1
netsvcs_0x2
netsvcs_0x3
netsvcs_0x4
netsvcs_0x5
netsvcs_0x6
netsvcs_0x7
netsvcs_0x8
netsvcs_0x9
netsvcs_0x10
nex8
netsvcs_0x11
netsvcs_0x12
nex9
netsvcs_0x13
netsvcs_0x14
netsvcs_0x15
netsvcs_0x16
netsvcs_0x17
netsvcs_0x18
netsvcs_0x19
netsvcs_0x20
netsvcs_0x21
netsvcs_0x22
netsvcs_0x23
netsvcs_0x24
netsvcs_0x25
netsvcs_0x26
PCAudit
123
Tiya10752680AI
WamnSvc

File::
c:\windows\System32\tcpwamnlib.exe
c:\windows\system32\sho179.tmp
c:\windows\system32\ddus.exe
c:\windows\system32\shoE455.tmp
c:\users\hex1433.exe
c:\windows\system32\shoBE80.tmp
c:\windows\system32\sho607B.tmp
c:\windows\system32\gouri.bat
c:\windows\system32\dll50987.dll
c:\windows\system32\dll75511.dll

Driver::

Folder::
c:\windows\system32\i4622
c:\windows\system32\i8067
c:\windows\system32\i2922
c:\windows\system32\i7279
c:\windows\system32\i3159
c:\windows\system32\i1026


Registry::

Reboot::

И новый ComboFix.txt покажите. Сейчас, надеюсь, получится.

Jaguar1 · 28.09.2011, 13:58

ComboFix.txt

Vvvyg · 28.09.2011, 14:31

Jaguar1, ситуация такая: в компьютере глубоко окопались зловреды, которые ещё и подкачивают всё новых, так что при таком лечении "по переписке" скрипт просто опаздывает за реальной ситуацией. Одних гадов давим, другие за это время успевают закачаться, установиться в системе, и возвращают положение дел... Поэтому надо всё-таки обновить базы KIS и просканировать весь диск C:, отключившись от интернета. Там есть зловреды, которых KIS явно должен знать, что ж он ничего не видит-то у вас... Всё, что найдётся - лечить, неизлечимое - удалять. После окончания лечения интересно было бы посмотреть на лог. Также после этого сделайте новый лог ComboFix. Если радикально не улучшим ситуацию, придётся лечиться с загрузочного диска/флэшки.

Jaguar1 · 28.09.2011, 14:34

ну щас тогда поставлю на проверку

Jaguar1 · 28.09.2011, 18:36

включил проверку прихожу проверено 4 к файлов

... почему так мало когда я пришел было предложение лечить один файл, я нажал лечить и проверка прервалась хотя и не работала. Сегодня поставлю на ночь

Jaguar1 · 29.09.2011, 12:50

Ну вот и uVs заработал

---------- Добавлено через 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 999999999999999999999999999999999999999999 ---------- Предыдущее сообщение было написано в 10:49 ----------

72угроз 59 нейтрализовано

Vvvyg · 29.09.2011, 13:13

Jaguar1, вот уже пошли дела

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v3.71 script [http://dsrt.dyndns.org]

delref EXIT
delref HTTP://XN--80AFAT5B.XN--P1AI
deltmp
delnfr
restart

Закройте все броузеры, выполните скрипт в uVS (меню -> скрипты -> выполнить из буфера обмена).
После перезагрузки нужен новый лог ComboFix, хочу убедиться, что все скрытые гадости вычищены.

Jaguar1 · 29.09.2011, 14:07

ComboFix.txt

Vvvyg · 29.09.2011, 14:32

Так, уже гораздо лучше. Теперь хотелось бы посмотреть на остатки недодавленной нечисти. Выполните такой скрипт в AVZ:

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ExecuteStdScr(2);
QuarantineFile('c:\windows\system32\tcpwamjlib.exe','');
BC_QrFile('c:\windows\system32\tcpwamjlib.exe');
QuarantineFile('c:\users\Юра\AppData\Roaming\ezpinst.exe','');
BC_QrFile('c:\users\Юра\AppData\Roaming\ezpinst.exe');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки - такой:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, выложите его на файлообменник и дайте ссылку, а также выложите файл virusinfo_syscheck.zip из папки LOG.

Jaguar1 · 29.09.2011, 14:46

quarantine.zip
virusinfo_syscheck.zip

Vvvyg · 29.09.2011, 15:43

Jaguar1, В AVZ выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
 DeleteFile('c:\windows\system32\tcpwamjlib.exe');
 DeleteFile('c:\program files\common files\akamai\netsession_win_b31de1e.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Akamai\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки Сделайте лог гмер, там ещё левые службы остались.
Скачайте антируткит Gmer со случайным именем. Запустите программу (В Windows Vista и 7 запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

* Sections
* IAT/EAT
* Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save), выложите его на файлообменник и дайте ссылку.

Jaguar1 · 29.09.2011, 16:04

начал сканирование вылез синий экран с буквами и комп перезагрузился

Vvvyg · 29.09.2011, 16:18

Jaguar1, KIS перед этим отключался? Если нет, пробуй с выключенным, не выйдет - вечером скрипт для комбофикс напишу.

Jaguar1 · 29.09.2011, 18:33

http://rghost.ru/23522651

Vvvyg · 29.09.2011, 20:01

Jaguar1, чисто. Вывод - Касперский должен быть на стрёме. И периодически полное сканирование надо делать.

27.09.2011, 23:45	#91 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Jaguar1, мда... Скрипт выполнился, перезагрузка была? UAC выключите временно, и попробуйте ещё раз. ---------- Добавлено в 22:26 ---------- Предыдущее сообщение было написано в 22:20 ---------- Так, стоп, одну вещь проглядел, сейчас скрипт переделаю. ---------- Добавлено в 22:45 ---------- Предыдущее сообщение было написано в 22:26 ---------- Jaguar1, отключите UAC и делайте, как в предыдущий раз, содержимое CFScript.txt ниже: Код: KillAll:: NetSvc:: nex0 nex1 nex2 nex3 nex4 nex5 nex6 nex7 netsvcs_0x1 netsvcs_0x2 netsvcs_0x3 netsvcs_0x4 netsvcs_0x5 netsvcs_0x6 netsvcs_0x7 netsvcs_0x8 netsvcs_0x9 netsvcs_0x10 nex8 netsvcs_0x11 netsvcs_0x12 nex9 netsvcs_0x13 netsvcs_0x14 netsvcs_0x15 netsvcs_0x16 netsvcs_0x17 netsvcs_0x18 netsvcs_0x19 netsvcs_0x20 netsvcs_0x21 netsvcs_0x22 netsvcs_0x23 netsvcs_0x24 netsvcs_0x25 netsvcs_0x26 PCAudit 123 Tiya10752680AI WamnSvc File:: c:\windows\System32\tcpwamnlib.exe c:\windows\system32\sho179.tmp c:\windows\system32\ddus.exe c:\windows\system32\shoE455.tmp c:\users\hex1433.exe c:\windows\system32\shoBE80.tmp c:\windows\system32\sho607B.tmp c:\windows\system32\gouri.bat c:\windows\system32\dll50987.dll c:\windows\system32\dll75511.dll Driver:: Folder:: c:\windows\system32\i4622 c:\windows\system32\i8067 c:\windows\system32\i2922 c:\windows\system32\i7279 c:\windows\system32\i3159 c:\windows\system32\i1026 Registry:: Reboot:: И новый ComboFix.txt покажите. Сейчас, надеюсь, получится.

29.09.2011, 13:13	#97 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Jaguar1, вот уже пошли дела Скопируйте скрипт из окна "код" ниже в буфер обмена: Код: ;uVS v3.71 script [http://dsrt.dyndns.org] delref EXIT delref HTTP://XN--80AFAT5B.XN--P1AI deltmp delnfr restart Закройте все броузеры, выполните скрипт в uVS (меню -> скрипты -> выполнить из буфера обмена). После перезагрузки нужен новый лог ComboFix, хочу убедиться, что все скрытые гадости вычищены.

29.09.2011, 14:32	#99 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Так, уже гораздо лучше. Теперь хотелось бы посмотреть на остатки недодавленной нечисти. Выполните такой скрипт в AVZ: Код: begin DeleteFileMask(GetAVZDirectory+'Quarantine', '.', true); ExecuteStdScr(2); QuarantineFile('c:\windows\system32\tcpwamjlib.exe',''); BC_QrFile('c:\windows\system32\tcpwamjlib.exe'); QuarantineFile('c:\users\Юра\AppData\Roaming\ezpinst.exe',''); BC_QrFile('c:\users\Юра\AppData\Roaming\ezpinst.exe'); BC_Activate; RebootWindows(true); end. После перезагрузки - такой: Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке с AVZ появится архив карантина quarantine.zip, выложите его на файлообменник и дайте ссылку, а также выложите файл virusinfo_syscheck.zip из папки LOG.

29.09.2011, 15:43	#101 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Jaguar1, В AVZ выполнить скрипт: Код: begin SearchRootkit(true, true); DeleteFile('c:\windows\system32\tcpwamjlib.exe'); DeleteFile('c:\program files\common files\akamai\netsession_win_b31de1e.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Akamai\Parameters','ServiceDll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После перезагрузки Сделайте лог гмер, там ещё левые службы остались. Скачайте антируткит Gmer со случайным именем. Запустите программу (В Windows Vista и 7 запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: * Sections * IAT/EAT * Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save), выложите его на файлообменник и дайте ссылку.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Посмотрите логи.подозрение на вирусы	DarkKiber	Безопасность	10	22.07.2011 15:07
Проверьте логи.Подозрение на вирусы	DarkKiber	Безопасность	1	22.06.2011 01:31
Подозрение на вирусы, проверьте лог пож-та.	elenka	Безопасность	4	01.06.2011 12:59
Подозрение на вирусы.Проверьте логи	DarkKiber	Безопасность	1	22.05.2011 21:07
Подозрение на вирусы. проверьте логи	gvedas	Безопасность	2	14.04.2011 13:54
Нужна помощь. Подозрение на вирусы. Проверьте логи!	Add	Безопасность	1	15.02.2011 09:13
подозрение на вирусы, проверьте пожалуйста логи...	Mexikanskoe_Tyshkano	Безопасность	12	01.12.2010 22:34
Подозрение на вирусы, проверьте пожалуйста логи	katari	Безопасность	12	30.11.2010 23:20
Проверьте логи,есть подозрение на вирус	DarkKiber	Безопасность	3	27.11.2010 21:25
Есть подозрение, проверьте логи	Эд516	Безопасность	4	06.11.2010 01:24
Проверьте пожалуйста логи (подозрение на вирусы)	Глеб	Безопасность	13	01.04.2010 20:10
У меня подозрение на вирусы проверьте логи	Сидъ	Безопасность	6	26.01.2010 16:07

28.09.2011, 13:58	#92 (ссылка)
Jaguar1 Новичок Регистрация: 11.07.2011 Сообщений: 156 Репутация: 0	ComboFix.txt

28.09.2011, 14:31	#93 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Jaguar1, ситуация такая: в компьютере глубоко окопались зловреды, которые ещё и подкачивают всё новых, так что при таком лечении "по переписке" скрипт просто опаздывает за реальной ситуацией. Одних гадов давим, другие за это время успевают закачаться, установиться в системе, и возвращают положение дел... Поэтому надо всё-таки обновить базы KIS и просканировать весь диск C:, отключившись от интернета. Там есть зловреды, которых KIS явно должен знать, что ж он ничего не видит-то у вас... Всё, что найдётся - лечить, неизлечимое - удалять. После окончания лечения интересно было бы посмотреть на лог. Также после этого сделайте новый лог ComboFix. Если радикально не улучшим ситуацию, придётся лечиться с загрузочного диска/флэшки.

28.09.2011, 14:34	#94 (ссылка)
Jaguar1 Новичок Регистрация: 11.07.2011 Сообщений: 156 Репутация: 0	ну щас тогда поставлю на проверку

28.09.2011, 18:36	#95 (ссылка)
Jaguar1 Новичок Регистрация: 11.07.2011 Сообщений: 156 Репутация: 0	включил проверку прихожу проверено 4 к файлов ... почему так мало когда я пришел было предложение лечить один файл, я нажал лечить и проверка прервалась хотя и не работала. Сегодня поставлю на ночь

29.09.2011, 12:50	#96 (ссылка)
Jaguar1 Новичок Регистрация: 11.07.2011 Сообщений: 156 Репутация: 0	Ну вот и uVs заработал ---------- Добавлено через 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 999999999999999999999999999999999999999999 ---------- Предыдущее сообщение было написано в 10:49 ---------- 72угроз 59 нейтрализовано

29.09.2011, 14:07	#98 (ссылка)
Jaguar1 Новичок Регистрация: 11.07.2011 Сообщений: 156 Репутация: 0	ComboFix.txt

29.09.2011, 14:46	#100 (ссылка)
Jaguar1 Новичок Регистрация: 11.07.2011 Сообщений: 156 Репутация: 0	quarantine.zip virusinfo_syscheck.zip

29.09.2011, 16:04	#102 (ссылка)
Jaguar1 Новичок Регистрация: 11.07.2011 Сообщений: 156 Репутация: 0	начал сканирование вылез синий экран с буквами и комп перезагрузился

29.09.2011, 16:18	#103 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Jaguar1, KIS перед этим отключался? Если нет, пробуй с выключенным, не выйдет - вечером скрипт для комбофикс напишу.

29.09.2011, 18:33	#104 (ссылка)
Jaguar1 Новичок Регистрация: 11.07.2011 Сообщений: 156 Репутация: 0	http://rghost.ru/23522651

Ads

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

29.09.2011, 20:01	#105 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Jaguar1, чисто. Вывод - Касперский должен быть на стрёме. И периодически полное сканирование надо делать.