Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] снова nt authority/system (http://forum.oszone.net/showthread.php?t=186092)

darksideofthesun 21-09-2010 15:08 1500769
снова nt authority/system
 
Вложений: 2
  • info.txt (15.40 KB, скачиваний: 8)
  • log.txt (27.00 KB, скачиваний: 11)
опять выскочила таблица и компьютер через минуту перезагрузился + тормозит сильно компьютер

MotherBoard 22-09-2010 01:31 1501262
Akamai - сами ставили?
Если нет, то выполняйте скрипт; если сами ставили - то просто уберите из скрипта эти строки.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\vdi3njy0.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\uzi3njy0.sys','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
QuarantineFile('C:\Program Files\Common Files\keylog.txt','');
QuarantineFile('C:\WINDOWS\system32\baeceb.exe','');
 QuarantineFile('C:\Documents and Settings\NAE\Главное меню\Программы\Автозагрузка\monmvr32.exe','');
 QuarantineFile('c:\program files\common files\akamai\rswin_3746.dll','');
 DeleteFile('c:\program files\common files\akamai\rswin_3746.dll');
 DeleteFile('C:\Documents and Settings\NAE\Главное меню\Программы\Автозагрузка\monmvr32.exe');
 DeleteFile('C:\Program Files\Common Files\keylog.txt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Akamai\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Комп перезагрузится
выполните скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Папку quarantine.zip отправьте в лабораторию согласно формы: http://support.kaspersky.ru/virlab/helpdesk.html

результаты ответа сообщите в теме.


Профиксите в Хиджак!

Код:
O4 - Startup: monmvr32.exe

повторите логи


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Arbitr 22-09-2010 10:23 1501424
после лечения смените все пароли важные для вас...

darksideofthesun 22-09-2010 20:21 1502011
Вложений: 3
письмо:
Цитата:
Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. baeceb.exe, bcqr00009.dat, bcqr00010.dat - Packed.Win32.Krap.hr bcqr00011.dat, bcqr00012.dat, monmvr32.exe - Trojan-PSW.Win32.LdPinch.aprp В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами. bcqr00005.dat, bcqr00006.dat, fjhdyfhsn.bat, keylog.txt Файлы в процессе обработки. С уважением, Лаборатория Касперского 123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru Hello, This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. baeceb.exe, bcqr00009.dat, bcqr00010.dat - Packed.Win32.Krap.hr bcqr00011.dat, bcqr00012.dat, monmvr32.exe - Trojan-PSW.Win32.LdPinch.aprp At the moment these files are detected with the latest antivirus bases. bcqr00005.dat, bcqr00006.dat, fjhdyfhsn.bat, keylog.txt These files are in process. Best Regards, Kaspersky Lab 10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com
логи:

MotherBoard 22-09-2010 22:47 1502080
Сначала проверяли AVZ, а потом MBAM?
Проверьте файлик: monmvr32.exe в папке автозагрузки: C:\Documents and Settings\NAE\Главное меню\Программы\Автозагрузка
если уже нет - то хорошо, значит MBAM удалил.

Профиксьте в хиджак.
Код:
O4 - Startup: monmvr32.exe
Что с проблемами?

darksideofthesun 23-09-2010 00:05 1502117
да,сначала авз,потом мбам.
в папке автозагрузки пусто)

и в хиджаке нет этой строчки,это хорошо?

пока не выскакивало больше.

MotherBoard 23-09-2010 00:13 1502125
выполните скрипт в AVZ

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\baeceb.exe');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Цитата:
Цитата darksideofthesun
хиджаке нет этой строчки,это хорошо? »
Да! Потому что тот файлик тоже вирус.

Повторите лог: virusinfo_syscure.zip

darksideofthesun 23-09-2010 17:43 1502712
лог

MotherBoard 23-09-2010 22:04 1502882
Папку fc555f12 удалите по пути:

C:\Program Files\Common Files\fc555f12

Обновите Internet Explorer: http://windows.microsoft.com/ru-RU/i...&browser=other

Обновите Adobe Acrobat: http://translate.google.ru/translate...p%26prmd%3Divs

Не забывайте про системные патчи.
Можете так же после лечения сменить пароли на всякий пожарный.....

darksideofthesun 24-09-2010 18:40 1503461
на сайте скачивания IE есть только для выбора Windows 7 и Vista,у меня XP стоит.что делать?
можно ли как-нибудь скачать Adobe Acrobat бесплатно?
Я меняла пароли после проверки через MBAM все равно надо?

Arbitr 24-09-2010 18:51 1503469
Цитата:
Цитата darksideofthesun
на сайте скачивания IE есть только для выбора Windows 7 и Vista,у меня XP стоит.что делать? »
скачать и устанвоить http://www.microsoft.com/rus/windows/internet-explorer/ [
Цитата:
Цитата darksideofthesun
Я меняла пароли после проверки через MBAM все равно надо? »
сорь это когда было по дате??)) смена паролей

darksideofthesun 24-09-2010 18:57 1503472
Цитата:
Цитата Arbitr
сорь это когда было по дате??)) смена паролей »
позавчера вроде)или вчера.

Arbitr 24-09-2010 19:11 1503481
тогда больше не надо)))

darksideofthesun 26-09-2010 19:20 1504960
спасибо.

блииин,помогите пожалуйста(
короче мне в ФШ написали,что мой серийный номер истек.я полезла в инет,искать новый.нашла какойт и после ввода в графу я не могу больше открыть ФШ.вылезает табличка с Лицензионным соглашением.нажимаю принять и ничего(

Arbitr 26-09-2010 19:35 1504968
Цитата:
Цитата darksideofthesun
блииин,помогите пожалуйста(
короче мне в ФШ написали,что мой серийный номер истек.я полезла в инет,искать новый.нашла какойт и после ввода в графу я не могу больше открыть ФШ.вылезает табличка с Лицензионным соглашением.нажимаю принять и ничего( »
первое..не очень понятно о чем идет речь
второе мы здесь лечим от вирусов а не помогаем в использовании пиратских программ

darksideofthesun 26-09-2010 19:44 1504976
ну ладно.
спасибо)

Arbitr 26-09-2010 19:50 1504980
удачи)


Время: 17:06.

Время: 17:06.
© OSzone.net 2001-