Взрослая социальная сеть
Текстовая версия форума
Знакомства для секса Регистрация


Вирус "fool"

Текстовая версия форума: Архив компьютерного форума



Полная версия топика:
Вирус "fool" -> Архив компьютерного форума


Страницы: [1]

dream82
Поймал вирус "fool". Сидит в компе как админ. Не пускает к свойствам папок, ко всем изменениям системы, пишет: вы не можете совепшить это действие, обратитесь к админу...
Отличительная особенность: вместо времени на мониторе- написано fool ...(имя пользователя).
Вот такоя проблема. Как бороться? Как вылечить?
Uncle Hips
QUOTE (dream82 @ 07.09.2008 - время: 18:47)
Поймал вирус "fool".

Знаем этого гада.. Don't panic..
Если не охота переустанавливать систему, необходимо
скачать:
http://www.trendsecure.com/portal/en-US/th...is.zip(запустиь её с жесткого диска(раб. стола) нажать на кнопку "ду а систем скан энд сэйф лог" от имени админа.))) Лог сохраница в папке, в которой лежит хайджек.

http://z-oleg.com/avz4.zip и обновить базы.(файл\обновление баз..) и сделать логи(файл\стандартные скрипты\выполнить скрипт №3)
Лог делать от имени " админа", закрыв все приложения , что сможешь закрыть.
Лог сосхранится в папке AVZ.
Все логи(что сохранились) выложить в следующем сообщении.
dream82
как админ зайти не могу, зашел через свою учетную запись.
Вот лог из хайджек:
--------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at fool Gal, on 07.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\Gal\Google\googletoolbar1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [srvreg] C:\WINDOWS\system32\srvreg.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Cтатистика защиты веб-трафика - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1218109383016
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1218173181349
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownlo...iaSmartScan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 7338 bytes
---------------------------------------------------

вторая ссылка в твоем сообщении по-моему не работает

Это сообщение отредактировал dream82 - 07-09-2008 - 20:15
Правда
Попробуй отсюда:
Вирус "fool"
Uncle Hips
Что-то не видно зверя по хайджеку. И, тем не мение необходимо, скачать AVZ по предложенной ссылке, обновить её базы(как выше объяснил) и выполнить такие буквы:
АВЗ\файл\выполонить скрипт \скопировать что я написал в окошко\ и запустить:

QUOTE

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(''C:\WINDOWS\system32\nwiz.exe,'');
QuarantineFile(''C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll,'');
QuarantineFile(''C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe,'');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


затем такой:

QUOTE

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Карантино(из папки АВЗ) залей куда либо и пришли ссылу.

Пока всё. Без лога АВЗ помогать нет возможности. Надо скачать ЕЁ и сделать ЕГО.=)
Необходимо отключить "восстановение системы!-важно!!!
Есть одна тонкость. Когда ставишь каспера(любой антивирус) на уже зараженную систему он не в силах излечить активное заражение, как правило. Так устроен мир. Но, всё же стОит обновив его базы, просканировать все разделы диска(ов).
Так же необходимо делать логи от имени "админа".
Обойти учётку админа можно, но способ противоречит правилам форума. Проще договорится о пароле с владельцем компа..=)

Это сообщение отредактировал Uncle Hips - 08-09-2008 - 02:45
dream82
AVZ ЛОГ
------------------------
Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 08.09.2008 12:47:45
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=082480)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Functions checked: 284, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 23
Number of modules loaded: 330
Scanning memory - complete
3. Scanning disks
Direct reading C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\avB.tmp
File quarantined succesfully (C:\System Volume Information\_restore{58A97FE3-20F8-44F6-BF14-D96FC9EA02C8}\RP239\A0089488.exe)
C:\System Volume Information\_restore{58A97FE3-20F8-44F6-BF14-D96FC9EA02C8}\RP239\A0089488.exe >>>>> AdvWare.Win32.WhenU.a deleted successfully
C:\Женя\Программы закачки\Activation.rar/{RAR}/Activation\Windows XP Professional Origina\keyfinder.exe/{RAR-SFX}/officekey.exe >>>>> not-a-virus:PSWTool.Win32.RAS.a
Removing traces of deleted files...
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll)
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"
>>> E:\autorun.inf HSC: suspicion for hidden autorun (high degree of probability)
File quarantined succesfully (E:\autorun.inf)
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote Registry)
>> Services: potentially dangerous service allowed: TermService (Terminal Services)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP Discovery Service)
>> Services: potentially dangerous service allowed: TlntSvr (Telnet)
>> Services: potentially dangerous service allowed: Schedule (Task Scheduler)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Remote Desktop Help Session Manager)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
Checking - complete
Files scanned: 132947, extracted from archives: 108491, malicious software found 2, suspicions - 0
Scanning finished at 08.09.2008 13:23:33
Time of scanning: 00:35:51
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Creating archive of files from Quarantine
Creating archive of files from Quarantine - complete
System Analysis in progress
System Analysis - complete
dream82
QUOTE (Uncle Hips @ 08.09.2008 - время: 00:00)


QUOTE

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(''C:\WINDOWS\system32\nwiz.exe,'');
QuarantineFile(''C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll,'');
QuarantineFile(''C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe,'');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



QUOTE

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.



В первом случае пишет ошибку: ')' expected at position 4:18

Во-втором случае пишет:Script executed without errors

И еще. Если я не могу зайти как админ, все что мы делаем это безполезно?
Правда
QUOTE
Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update)

Прежде чем выполнять лог необходимо было обновить базы-это было сделано?
QUOTE
обновить базы.(файл\обновление баз..)
Uncle Hips
QUOTE (dream82 @ 08.09.2008 - время: 11:56)
В первом случае пишет ошибку: ')' expected at position 4:18

Во-втором случае пишет:Script executed without errors

И еще. Если я не могу зайти как админ, все что мы делаем это безполезно?

Пардон, я синтаксис не проверил.
Можешь найти эти файлы вручную и проверить их на предмет заразы, скажем здесь http://www.virustotal.com/ru/
Логи нужны от имени администратора. Из под ограниченного пользователя ничего не видно к сожалению. Можно провести полную проверку ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe в безопасном (F8 при перезагрузке) режиме. Курит знает этого зловреда и должен справится.
dream82
Не получается запустить drweb в безопасном режиме. Вернее я не умею этого делать. Если не трудно, напишите мне пошагово как это делается.
Uncle Hips
QUOTE (dream82 @ 09.09.2008 - время: 10:55)
Не получается запустить drweb в безопасном режиме. Вернее я не умею этого делать. Если не трудно, напишите мне пошагово как это делается.

Во время перезагрузки(c начала загрузки), после BIOS, часто-часто нажимать клавишу F8. Появится экран с выбором способа загрузки. Нужно выбрать "безопазный режим"(SafeMode) и нажать клавишу Enter. После сканирования и лечения/удаления заразы, перезагрузиться. Запомнить или записать кого поймает CureIt и где(путь к файлу). Он вообще-то и сам сохраняет лог сканирования, но я забыл в какой папке=)
dream82
Что-то у меня CureIt зависает на некоторых файлах.
Но зато через "безопазный режим" нашел учетную запись Админа. Сделал ЛОГ АВЗ. Вот может он поможет.
----------------------------
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 10.09.2008 21:16:29
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: Disabled
System booted in Safe Mode
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
Driver communication failure [00000002] - [1]
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
Driver communication failure [00000002] - [1]
2. Scanning memory
Number of processes found: 10
Number of modules loaded: 147
Scanning memory - complete
3. Scanning disks
C:\Женя\Программы закачки\Activation.rar/{RAR}/Activation\Windows XP Professional Origina\keyfinder.exe/{RAR-SFX}/officekey.exe >>>>> not-a-virus:PSWTool.Win32.RAS.a
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll)
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
File quarantined succesfully (C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll)
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"
>>> E:\autorun.inf HSC: suspicion for hidden autorun (high degree of probability)
File quarantined succesfully (E:\autorun.inf)
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote Registry)
>> Services: potentially dangerous service allowed: TermService (Terminal Services)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP Discovery Service)
>> Services: potentially dangerous service allowed: TlntSvr (Telnet)
>> Services: potentially dangerous service allowed: Schedule (Task Scheduler)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Remote Desktop Help Session Manager)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>>> Security: Internet Explorer allows automatic queries of ActiveX administrative elements
Checking - complete
9. Troubleshooting wizard
>> Internet Explorer - automatic queries of ActiveX operating elements are allowed
Checking - complete
Files scanned: 121421, extracted from archives: 105399, malicious software found 1, suspicions - 0
Scanning finished at 10.09.2008 21:44:08
Time of scanning: 00:27:40
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Creating archive of files from Quarantine
Creating archive of files from Quarantine - complete
System Analysis in progress
System Analysis - complete

Uncle Hips
Это не лог(тем более из безопасного режима).
1) Дата обновления баз 06.04.2008 17:09! Нужно обновить: файл\обновление баз!!!
2) Нужны все 3 лога выполненные в обычном режиме от имени админа как написал в последнем сообщении здесь
http://www.globalforum.ru/index.php?showtopic=226233

3) Если не получится, -тогда запасной вариант:
Пролечиться в безопасном режиме собственным касперским с обновлёнными базами или
Скачать:
ftp://ftp.kaspersky.com/devbuilds/RescueD...rescue_2008.iso 96Мб

Нарезать образ на болванку и загрузиться с неё(после записи образа, не вынимая диска, презагрузиться). Выставить все галочки в настройкак касперского на всех разделах и дисках и пролечить комп полным сканом при максимальных настройках. Думаю зверь отступит, или хотя бы даст нормально продолжить лечение.

Это сообщение отредактировал Uncle Hips - 10-09-2008 - 22:47
dream82
Вот лог от имени админа. Hijack.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:03:40, on 11.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\Gal\Google\googletoolbar1.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Gal')
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe /start (User 'Gal')
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun (User 'Gal')
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [srvreg] C:\WINDOWS\system32\srvreg.exe (User 'Gal')
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot (User 'Gal')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Cтатистика защиты веб-трафика - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1218109383016
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1218173181349
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownlo...iaSmartScan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 6461 bytes
-----------------------------------------


Вот AVZ сделал все как написано. скрипт №3.

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 11.09.2008 11:40:55
Database loaded: signatures - 186197, NN profile(s) - 2, microprograms of healing - 56, signature database released 10.09.2008 20:51
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 73357
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=082480)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 80559480
KiST = 804E26A8 (284)
Functions checked: 284, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 21
Number of modules loaded: 325
Scanning memory - complete
3. Scanning disks
Direct reading C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\av73.tmp
C:\Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe >>> suspicion for Trojan-Downloader.Win32.Agent.zje ( 0069C2B8 0BB0A2E2 001F9169 00234F39 1219624)
C:\Женя\Программы закачки\Activation.rar/{RAR}/Activation\Windows XP Professional Origina\keyfinder.exe/{RAR-SFX}/officekey.exe >>>>> not-a-virus:PSWTool.Win32.RAS.a
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll --> Suspicion for Keylogger or Trojan DLL
C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"
>>> E:\autorun.inf HSC: suspicion for hidden autorun (high degree of probability)
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote Registry)
>> Services: potentially dangerous service allowed: TermService (Terminal Services)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP Discovery Service)
>> Services: potentially dangerous service allowed: TlntSvr (Telnet)
>> Services: potentially dangerous service allowed: Schedule (Task Scheduler)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Remote Desktop Help Session Manager)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>>> Security: Internet Explorer allows automatic queries of ActiveX administrative elements
Checking - complete
9. Troubleshooting wizard
>> Internet Explorer - automatic queries of ActiveX operating elements are allowed
Checking - complete
Files scanned: 115871, extracted from archives: 101167, malicious software found 1, suspicions - 1
Scanning finished at 11.09.2008 11:59:41
Time of scanning: 00:18:48
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference
Creating archive of files from Quarantine
Creating archive of files from Quarantine - complete
System Analysis in progress
System Analysis - complete
Uncle Hips
Лог Hijack, подойдёт.
Лог(и) AVZ это файл virusinfo_syscure.zip, который лежит у вас в папке avz4\LOG. Его прикрепи к следующему сообщению или залей на файлообменник http://www.sendspace.com/
Будь добр,внимательно прочитай моё последнее сообщение в топике http://www.globalforum.ru/index.php?showtopic=226233

ЗЫ. Желательно ещё сделать в АВЗ скрипт N2.
dream82
virusinfo_syscure.zip
http://dump.ru/file/1053296

virusinfo_syscheck.zip
http://dump.ru/file/1053298

virusinfo_cure.zip
http://dump.ru/file/1053299
Uncle Hips
virusinfo_syscheck.zip перезалей на http://www.sendspace.com/ я скачать не могу.

virusinfo_cure.zip это карантин. 12Мб 0_о! Отправь его пока на
( [email protected] )
Напиши, что это карантин и обязятельно в письме укажи пароль- virus Можно и ссылку на скачку отправить. Подожди что они ответят.
Я пока скрипт напишу.

Это сообщение отредактировал Uncle Hips - 11-09-2008 - 20:13
Uncle Hips
Просил же, при выполнении скриптов отлючить антивирус(правый клик на значёк KIS в трее\приостановка защиты\по требованию\выход) и почистить все временные файлы и корзину! Вот этим можно
http://www.atribune.org/public-beta/ATF-Cleaner.exe

Обнови базы AVZ!

E:\ это флешка? Не отключай её до окончания лечения.

Пофиксить(запустить HijackThis нажать "...scan only", отметить галкалками строки и нажать "Fixcheckit"):
QUOTE

R3 - Default URLSearchHook is missing
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\tbu3\toolbaru.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\Gal\Google\googletoolbar1.dll (file missing)
O4 - HKUS\S-1-5-21-1078081533-492894223-1060284298-1003\..\Run: [srvreg] C:\WINDOWS\system32\srvreg.exe (User 'Gal')


Закрой все открытые приложения, кроме АVZ и Internet Explorer.
Отключи
- ПК от интернета/локалки
- Антивирус(если работает).
- Системное восстановление(если снова включил).

Далее AVZ\файл\выполнить скрипт\в окошко скопировать скрипт из сообщения\запустить

QUOTE

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{AA58ED58-01DD-4D91-8333-CF10577473F7}');
QuarantineFile('C:\WINDOWS\system32\srvreg.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documents and Settings\Gal\Local Settings\Temp\GoogleToolbarInstaller_ru.exe');
DeleteFile('E:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.
Включи антивирус, инет.
Карантин virus.zip из папки avz4 отправь касперским(как и прошлый). Укажи пароль- virus
Повтори все 3 лога HijackThis и 2 AVZ.
Опиши проблеммы, если останутся или появятся.

Это сообщение отредактировал Uncle Hips - 11-09-2008 - 21:53
dream82
virusinfo_syscheck.zip
http://www.sendspace.com/file/5zr31j

немогу скачать программу для временных файлов
http://www.atribune.org/public-beta/ATF-Cleaner.exe

Е:/ это недоразумение, которое отделилось от основного диска.
Uncle Hips
QUOTE (dream82 @ 11.09.2008 - время: 22:12)
Е:/ это недоразумение, которое отделилось от основного диска.

Ясно.=)
Очистить Temp можно так пуск\выполнить\%tmp%\ок удаляешь всё от туда.
После того, как пофиксишь и выполнишь написанный скрипт, карантин virus.zip, залей на http://www.sendspace.com/ и отправь мне в ПМ.

ЗЫ. Первый карантин отправил касперским на [email protected]?

что-то у меня форум жутко глючит.. постоянно -"504 Gateway Time-out". Более глючного ещё не видал..( Невозможно писать. Напишешь пост,-выкинуло..:((
Uncle Hips
QUOTE (dream82 @ 11.09.2008 - время: 22:12)
Е:/ это недоразумение, которое отделилось от основного диска.

Ясно.=)
Очистить Temp можно так пуск\выполнить\%tmp%\ок удаляешь всё от туда.
После того, как пофиксишь и выполнишь написанный скрипт, карантин virus.zip, залей на http://www.sendspace.com/ и отправь мне в ПМ.

ЗЫ. Первый карантин отправил касперским на [email protected]?

что-то у меня форум жутко глючит.. постоянно -"504 Gateway Time-out". Более глючного ещё не видал..( Невозможно писать. Напишешь пост,-выкинуло..:((
dream82
Ответ касперского: В присланном Вами файле не найдено ничего вредоносного.
dream82
quarantine.zip
http://www.sendspace.com/file/h87lwu

Пофиксить(запустить HijackThis нажать "...scan only", отметить галкалками строки и нажать "Fixcheckit"):
R3 - Default URLSearchHook is missing (у меня нет такого).

То что было сделал.
Скрины сдкелаю позже.
Uncle Hips
Ссылку на карантин не выкладывай в сообщении(в нём может находиться зараза), а присылай в ПМ. Он чист(некоторые файлы в карантин не попали).

Отключи корзину(правой кнопкой мыши на ярлык Корзины\Свойства\Файлы удалять немедленно). После лечения включишь заново.

Скачай програмку
IceSword http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip распакуй и запусти файл IceSword.ехе.
Кнопка file- откроется окошко поиска.
Найди(если отыщутся) фалы E:\autorun.inf и C:\WINDOWS\system32\srvreg.exe Правым кликом по ним и выбери "copy to". Сохрани оба в новой папке, запакуй её с паролем virus, залей, а ссылку мне в ПМ.
Потом снова IceSword.ехе, кнопка file, найди E:\autorun.inf правым кликом по нему, выбери "force delete", подтвери удаление и перезагрузись.
Сделай контролные логи!
Какие проблемы ещё остались\появились?
dream82
Нет. Эти файлы найти не могу.
Uncle Hips
QUOTE (dream82 @ 12.09.2008 - время: 15:56)
Нет. Эти файлы найти не могу.

Хорошо.
Посмотрел логи из ПМ, снова он на месте.
Вот зараза привязалась!
Давай так
Отключи антивирус, инет
Выполни в АВЗ:
QUOTE

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Комп перезагрузится

Потом(если найдётся),так:
авз - сервис - Active setup - удалить C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

Флешками пользуешся? Необходимо отключить автозапуск со сменных носителей:
АВЗ\файл\мастер поиска-устранения проблем\категория-системные\степень опасности-все\пуск. На всех(автозапуск с CD можешь оставить если нужен) которые найдутся, поставить галочки и нажать "исправить отмеченные". Перезагрузиться. Сделать скрипт №3 и ссылку на него в сообщении размести.
Uncle Hips
Так...Как чувствовал)) На горизонте образовался новый заражённый диск Н:\. Угадаю с 3-ёх раз,-это флешка, и комп снова заражён. Так можно до бесконечности лечиться)
Отключи антивирус и инет,
подключи зараженную флешку(не отключай, пока не закончим лечение!!!) и сделай такой скрипт:
QUOTE

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\csrss.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\csrss.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}  ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем такой:
QUOTE

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Карантин из папки АВЗ, залей и ссылку мне в ПМ. и касперским отправь. Повтори стандартные скрипты №3, №2 и лог HijackThis. Размести их в следующем сообщении.
РС. Не пропадай никуда. По хорошему(если больной не пропадает) всё это лечение можно сделать за час-два от силы, и я хочу сегодня закончить процедуры.

Это сообщение отредактировал Uncle Hips - 12-09-2008 - 20:04
dream82
Тут я.
С учетной записью у меня проблемы.
В режиме нормальной работы я вижу только 1 уч.запись- свою(админ).
В режиме Safe Mode 2 учетные записи (моя и созданная вирусом) обе записи администраторы.
Когда захожу в свою запись(могу сделать с ней все-удалить, исправить и т.д.)
А в вирусной уч. записи нет таких возможностей(только: исправить пароль, изменить картинку)


АВЗ уже делаю
Uncle Hips
QUOTE (dream82 @ 12.09.2008 - время: 21:05)
Тут я.
С учетной записью у меня проблемы.
В режиме нормальной работы я вижу только 1 уч.запись- свою(админ).
В режиме Safe Mode 2 учетные записи (моя и созданная вирусом) обе записи администраторы.
Когда захожу в свою запись(могу сделать с ней все-удалить, исправить и т.д.)
А в вирусной уч. записи нет таких возможностей(только: исправить пароль, изменить картинку)


АВЗ  уже делаю

Это я понял. Сначала заразу нужно удалить, потом остальное. Вот дополнительная информация об учётных записях и манипуляциях с ними. http://support.microsoft.com/kb/251394/ru
Потом прочти как излечишься.
Логи нужны и карантин, после их выполнения.

Это сообщение отредактировал Uncle Hips - 12-09-2008 - 21:29
dream82
Сделал, выслал на ПМ. Касперскому тоже.
Uncle Hips
По логам, комп чист. Для того, чтобы наверняка избавится от автозапуска с флешек и от вирусов:
Скопируй это в блокнот(notepad) и сохрани файл как noautorun.reg потом запусти и согласись с добавлением.
QUOTE

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""


Это сообщение отредактировал Uncle Hips - 12-09-2008 - 23:12
dream82
Огромное спасибо Uncle Hips, помог избавиться от вируса...
Осталось только убрать его следы и все "ай би хеппи".

Страницы: [1]

Архив компьютерного форума -> Вирус "fool"





Проститутки Киева | индивидуалки Москвы | Эротический массаж в Москве | Проститутки-индивидуалки Москва