06.06.2012, 08:57 | #151 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0035 - жуткие тормоза при работе с интернетом / некоторые файлы, полученные по почте, н еоткрываются / на сайты производителей антивирусов доступ заблокирован / авз сразу после заупска закрывается / обновить систему пока нет технической возможности
ювс http://rghost.ru/38503979 рсит http://rghost.ru/38503989 |
06.06.2012, 09:11 | #153 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код:
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\JBHG.EXE addsgn 9252777A156AC1CC0BE4514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 tr zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINYHXHU.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINBEVG.EXE addsgn 9252772A136AC1CC0BB4574E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/Agent.HLU [NOD32] delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINBEVG.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\JBHG.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINYHXHU.EXE addsgn 925277FA1D6AC1CC0B64594E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/PSW.Agent.NRU [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\W420C3.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\W420C3.EXE addsgn 925277FA3E6AC1CC0B647A4E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/SpamTool.Agent.NET [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINCQWVEE.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\WINCQWVEE.EXE delall %SystemDrive%\AUTORUN.INF delall %Sys32%\LLWUUTUD.DLL chklst delvir deltmp delnfr regt 5 CZOO restart ---------- новый образ автозапуска. высокая вероятность файлового заражения Sality +Kido |
06.06.2012, 09:16 | #154 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
возможно понадобится Salitykiller
скачать отсюда http://rghost.ru/38504069 + kidokiller http://rghost.ru/38504080 |
06.06.2012, 09:29 | #155 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
новый лог ювс http://rghost.ru/38504135
|
06.06.2012, 10:12 | #157 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
SalityKiiler - множественное заражение экзешников (кажется даже всех).. вроде все полечил
новая проверка SalityKiiler (занова загруженным) - чисто новый лог ювс (занова распакованным) http://rghost.ru/38504414 .... удалось собрать лог авз http://rghost.ru/38504504 Последний раз редактировалось pro-pan; 06.06.2012 в 10:27. |
06.06.2012, 11:53 | #159 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
Думаю, бесполезно. Часть хрени в C:\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP тоже относится к Sality, а Salitykiller это явно не опознаёт. Надо с лечебного загрузочного диска пролечивать, от Eset/Dr. Web/Kaspersky - по вкусу. Или с LiveCD с CureIt!.
Код:
Полное имя C:\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP\VVKFJN.EXE Имя файла VVKFJN.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] www.virustotal.com 2012-05-31 [2012-05-16 09:18:27 UTC ( 2 weeks, 6 days ago )] McAfee Spam-Mailbot.z K7AntiVirus Backdoor TheHacker Posible_Worm32 VirusBuster Trojan.Agent!gX2ijWLODBo NOD32 probably a variant of Win32/Agent.HLU F-Prot W32/Heuristic-170!Eldorado Symantec Trojan.Pramro Norman Pramro.B TotalDefense Win32/Maazben!generic TrendMicro-HouseCall TROJ_PRAMRO.SMI Avast Win32:Sality-GR ClamAV Trojan.Mazben-3 Kaspersky HEUR:Backdoor.Win32.Generic BitDefender Generic.Malware.FYdld.99D23F30 SUPERAntiSpyware Trojan.Agent/Gen-FraudPack Sophos Mal/TinyDL-T Comodo Heur.Suspicious F-Secure Generic.Malware.FYdld.99D23F30 DrWeb Trojan.DownLoad2.43767 VIPRE Trojan.Win32.Generic!BT AntiVir BDS/Backdoor.Gen TrendMicro TROJ_PRAMRO.SMI McAfee-GW-Edition Spam-Mailbot.z Emsisoft Virus.Win32.Sality!IK Jiangmin Backdoor/Mazben.ar Antiy-AVL Backdoor/Win32.Mazben.gen Microsoft TrojanProxy:Win32/Pramro.F ViRobot Backdoor.Win32.A.Mazben.12970.D[UPX] GData Generic.Malware.FYdld.99D23F30 Commtouch W32/Heuristic-170!Eldorado AhnLab-V3 Trojan/Win32.CSon VBA32 Malware-Cryptor.Zhelatin.Net PCTools Trojan.Pramro Ikarus Virus.Win32.Sality Fortinet W32/MailBot.Z!tr AVG unknown virus Win32/DH{RCAhJCIj} Panda Generic Malware Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ] Размер 11776 байт Создан 21.05.2012 в 18:09:52 Изменен 21.05.2012 в 18:09:52 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка pid = 3808 BOSS\ROVER CmdLine C:\DOCUME~1\ROVER\LOCALS~1\Temp\vvkfjn.exe Процесс создан 18:09:52 [2012.05.21] С момента создания 00:49:20 parentid = 1784 CLOSE_WAIT 10.128.255.151:1366 <-> 92.61.154.39:80 LISTEN 0.0.0.0:7527 SHA1 8EF6AFD6826AE6C48ECBF09FFDC422782D60B774 MD5 4A7CE343EF07FB39DDDD3C6B91C85272 Образы EXE и DLL VVKFJN.EXE C:\DOCUMENTS AND SETTINGS\ROVER\LOCAL SETTINGS\TEMP Загруженные DLL НЕИЗВЕСТНЫЕ SYST5.DLL C:\WINDOWS\SYSTEM32 |
06.06.2012, 12:11 | #160 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
тут вариант такой: пролечить SalityKiller, затем установить антивирус, обновить базы и выполнить полное сканирование. Хотя, согласен, что из под Live.CD очистка была бы надежнее. (как бы не пришлось к ней возвратиться в конце концов).
|
Ads | |
06.06.2012, 15:37 | #162 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
новый лог ювс (после полной проверки AVIRA) http://rghost.ru/38509112
|
06.06.2012, 16:31 | #164 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
мбам http://rghost.ru/38510334
чего-то мне не очень лог мбам нравится |
06.06.2012, 16:33 | #165 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
Только хвосты от Sality в реестре, удалите:
Код:
Обнаруженные ключи в реестре: 2 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Действие не было предпринято. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Проверка | York30 | Безопасность | 4 | 05.04.2012 20:04 |
Проверка uVS | ARAFATI | Безопасность | 10 | 27.11.2011 21:54 |
проверка | Чайка | Безопасность | 22 | 17.01.2011 17:30 |
ПРОВЕРКА | Tala | Безопасность | 5 | 11.06.2010 23:58 |
проверка hdd | wadim | Программы | 5 | 24.03.2010 00:03 |