|
Не открывает сайты антивирусов, антивирусы
так же как и при попытке установить или запустить ComboFix.exe(переименовывание не помогает), avz4 при открытии папки сразу ее закрывает, mbam, нод, cure it вызывают вылет процесса explorer.exe...очень нужна помощь
|
upd. выполнить 3-й и 2-й стандартный скрипт все же удалось, но файлов virusinfo_syscure и virusinfo_syscheck в папке AVZ не создало
|
Вы AVZ распаковали или так и запускаете из архива?
|
тесты проводились когда был запущен не из архива, при проверке был найден 1 вирус при этом создало папку Infected, папку log нет
|
Попробуйте запустить AVZ в безопасном режиме с поддержкой командной строки с ключом ag=y
|
запускаеться, именно только так и получилось выполнить скрипты, но опять же...логов не создает
|
Вложений: 1
после удачного запуска Cure it и удаления 5 вирусов(2-х видов) запустился ComboFix(лог прикреплен), avz(запускаеться только с ключем не создавая логов) HiJackThis все так же вылетает на загрузке
|
TeamViewer вы устанавливали ?
• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение. Код:
KillAll::Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. |
ComboFix 10-11-07.01 - Admin 07.11.2010 14:43:54.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1919.1503 [GMT 3:00] Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe Command switches used :: c:\documents and settings\Admin\Рабочий стол\CFScript.txt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE :: "c:\windows\system32\d22069a2.exe" "c:\windows\system32\xkptvjl.exe" "c:\windows\system32\у©NЂ" "c:\windows\system32\д‡Э?Є%Щ?rЧШ?њKэ®р?Ѕ?" . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\d22069a2.exe c:\windows\system32\xkptvjl.exe c:\windows\system32\у©NЂ c:\windows\system32\д‡Э?Є%Щ?rЧШ?њKэ®р?Ѕ? . ((((((((((((((((((((((((( Files Created from 2010-10-07 to 2010-11-07 ))))))))))))))))))))))))))))))) . 2010-11-07 11:23 . 2010-11-07 11:23 10240 ----a-w- c:\windows\system32\drivers\uji5nzay.sys 2010-11-07 11:12 . 2010-11-07 11:15 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\Temp 2010-11-07 11:12 . 2010-11-07 11:15 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\Google 2010-11-07 10:47 . 2010-11-07 10:47 388096 ----a-r- c:\documents and settings\Admin\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2010-11-07 10:47 . 2010-11-07 10:47 -------- d-----w- c:\program files\Trend Micro 2010-11-06 21:36 . 2010-11-06 21:36 13312 ----a-w- c:\windows\system32\drivers\vdi5nzay.sys 2010-11-06 21:30 . 2010-11-06 21:30 -------- d-----w- c:\documents and settings\Admin\Application Data\Malwarebytes 2010-11-06 21:30 . 2010-04-29 12:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-06 21:30 . 2010-11-06 21:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-11-06 21:30 . 2010-11-06 21:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2010-11-06 21:30 . 2010-04-29 12:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-06 19:43 . 2010-11-06 19:43 -------- d-----w- c:\program files\Windows Live Safety Center 2010-11-06 19:37 . 2010-11-06 19:37 -------- d-----w- c:\documents and settings\Admin\DoctorWeb 2010-11-06 19:36 . 2010-11-06 19:36 -------- d-----w- c:\documents and settings\LocalService\Application Data\{DCD48218-E972-4d0c-9E5F-43462BC13E3B} 2010-11-06 19:36 . 2010-11-06 21:01 -------- d-----w- c:\program files\Mail.Ru 2010-11-06 19:36 . 2010-11-06 19:36 -------- d-----w- c:\documents and settings\Admin\Application Data\Mail.Ru 2010-11-06 10:39 . 2010-11-07 11:43 -------- d-----w- c:\program files\Common Files\E37312E3a 2010-11-03 12:38 . 2010-11-03 12:47 -------- d-----w- c:\program files\MetaTrader 4 at FOREX.com 2010-11-02 12:53 . 2010-11-05 14:52 -------- d-----w- c:\documents and settings\Admin\Application Data\WebMoney 2010-11-02 12:35 . 2010-11-02 12:35 -------- d-----w- C:\Temp 2010-11-02 12:35 . 2010-11-02 12:35 -------- d-----w- c:\program files\WebMoney Agent 2010-11-02 12:35 . 2010-11-05 17:22 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP 2010-11-02 12:34 . 2010-11-02 12:35 -------- d-----w- c:\program files\WebMoney 2010-10-30 13:28 . 2010-11-05 19:01 -------- d-----w- c:\program files\Alpari МТ4 2010-10-29 07:55 . 2010-11-05 08:28 -------- d-----w- c:\program files\Common Files\E373111Ba 2010-10-23 19:08 . 2010-10-27 10:54 -------- d-----w- c:\documents and settings\Admin\Application Data\RayV . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of c:\program files\Common Files\E37312E3a ---- ------- Sigcheck ------- [-] 2009-12-26 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys [-] 2009-12-26 . 40120E0F032B37FB3BC64B15E484546C . 80608 . . [7.4.7600.226] . . c:\windows\system32\wuauclt.exe [-] 2009-12-26 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll [-] 2010-09-10 . F9414075EF4EBAD9DECCF4F128463F78 . 916480 . . [8.00.6001.18968] . . c:\windows\SoftwareDistribution\Download\e1c80a233d6369b489d79dd70b2de1eb\SP3GDR\wininet.dll [-] 2010-09-10 . BF5430983351BEA65A682B5C14637AC4 . 919552 . . [8.00.6001.23060] . . c:\windows\SoftwareDistribution\Download\e1c80a233d6369b489d79dd70b2de1eb\SP3QFE\wininet.dll [-] 2010-05-06 . E4241A31680B229D2162CF188F967303 . 916480 . . [8.00.6001.18923] . . c:\windows\SoftwareDistribution\Download\6c1f4492e90a78d898a6661cc57c2201\SP3GDR\wininet.dll [-] 2010-05-06 . 3A22147239706177ABDE83E7A02ED466 . 919040 . . [8.00.6001.23014] . . c:\windows\SoftwareDistribution\Download\6c1f4492e90a78d898a6661cc57c2201\SP3QFE\wininet.dll [-] 2009-12-26 . DF3D39434D58565BEE26BDC6452687AB . 1041408 . . [8.00.6001.22945] . . c:\windows\system32\wininet.dll [-] 2009-12-26 . D1B7919B18903BDB01FA33FC12F23680 . 1721344 . . [6.00.2900.5512] . . c:\windows\explorer.exe [-] 2009-12-26 . AB778E794E8F39D0D387A440AD356944 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll [-] 2009-12-26 . 31F4BCDDA7FE01D70032AB927F0EC6A1 . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe . ((((((((((((((((((((((((((((( SnapShot@2010-11-07_11.05.37 ))))))))))))))))))))))))))))))))))))))))) . + 2010-06-25 09:37 . 2010-11-07 11:26 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat - 2010-06-25 09:37 . 2010-11-07 10:43 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2010-06-25 09:37 . 2010-11-07 11:26 16384 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat - 2010-06-25 09:37 . 2010-11-07 10:43 16384 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat + 2010-06-25 09:37 . 2010-11-07 11:26 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat - 2010-06-25 09:37 . 2010-11-07 10:43 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096] "Google Update"="c:\documents and settings\Admin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-11-07 136176] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2006-09-12 16264192] "SkyTel"="SkyTel.EXE" [2006-05-16 2879488] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-09-15 815104] "AGRSMMSG"="AGRSMMSG.exe" [2005-09-09 88203] "OdTray.exe"="c:\program files\Funk Software\Odyssey Client\OdTray.exe" [2004-07-02 970810] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-15 110592] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112] "wmagent.exe"="c:\program files\WebMoney Agent\wmagent.exe" [2009-10-19 210400] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-12-26 30208] "VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "IE8_01"="shell32" [X] "ZZZZ2_FirstLogonSetting"="advpack.dll" [2009-12-26 128512] "IE8_02"="advpack.dll" [2009-12-26 128512] c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\ RightMark CPU Clock Utility.lnk - c:\program files\RMClock\RMClock.exe [2010-8-4 1750016] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OdysseyClient] 2010-06-25 11:25 106496 ----a-w- c:\windows\system32\odyEvent.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent] 2007-06-22 12:45 133576 ----a-w- c:\program files\DAEMON Tools Pro\DTProAgent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Download Master] 2010-07-27 10:05 3803968 ----a-w- c:\program files\Download Master\dmaster.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] 2010-09-02 11:15 13351304 ----a-r- c:\program files\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 "UpdatesOverride"=dword:00000001 "AntiVirusOverride"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\uTorrent\\uTorrent.exe"= "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Program Files\\Opera\\opera.exe"= "c:\\Program Files\\TeamViewer\\Version5\\TeamViewer.exe"= "c:\\Program Files\\TeamViewer\\Version5\\TeamViewer_Service.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26660:TCP"= 26660:TCP "3389:TCP"= 3389:TCP R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [18.08.2006 10:04 36576] R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [21.06.2006 12:09 29184] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [31.07.2010 1:06 685816] R3 RTCore32;RTCore32;c:\program files\RMClock\RTCore32.sys [04.08.2010 19:34 4608] S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [11.03.2010 12:17 25088] S3 uji5nzay;AVZ-SG Kernel Driver;c:\windows\system32\drivers\uji5nzay.sys [07.11.2010 14:23 10240] --- Other Services/Drivers In Memory --- *NewlyCreated* - RTCORE32 . Contents of the 'Scheduled Tasks' folder 2010-11-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-220523388-926492609-1177238915-500Core.job - c:\documents and settings\Admin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-11-07 11:12] 2010-11-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-220523388-926492609-1177238915-500UA.job - c:\documents and settings\Admin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-11-07 11:12] . . ------- Supplementary Scan ------- . uStart Page = hxxp://www.mail.ru/cnt/7823 mStart Page = hxxp://DreamLair.net IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm IE: Передать на удаленную закачку DM - c:\program files\Download Master\remdown.htm . - - - - ORPHANS REMOVED - - - - Toolbar-ITBar7Position - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-11-07 14:51 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(612) c:\windows\system32\Ati2evxx.dll c:\windows\system32\odyEvent.dll c:\program files\Funk Software\Odyssey Client\odLogin.dll c:\windows\system32\cscui.dll c:\windows\system32\COMRes.dll c:\windows\system32\msi.dll - - - - - - - > 'explorer.exe'(1752) c:\windows\system32\SHDOCVW.dll c:\windows\system32\WININET.dll c:\windows\system32\COMRes.dll c:\windows\System32\cscui.dll c:\windows\system32\msi.dll c:\windows\system32\NETSHELL.dll c:\windows\system32\wpdshserviceobj.dll c:\windows\system32\webcheck.dll c:\windows\system32\portabledevicetypes.dll c:\windows\system32\portabledeviceapi.dll c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll c:\progra~1\DOWNLO~1\dmiehlp.dll c:\program files\Microsoft Office\OFFICE11\msohev.dll c:\program files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll . ------------------------ Other Running Processes ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\program files\Funk Software\Odyssey Client\odClientService.exe c:\windows\system32\o2flash.exe c:\windows\RTHDCPL.EXE c:\windows\AGRSMMSG.exe c:\windows\system32\rundll32.exe . ************************************************************************** . Completion time: 2010-11-07 14:53:56 - machine was rebooted ComboFix-quarantined-files.txt 2010-11-07 11:53 ComboFix2.txt 2010-11-07 11:07 Pre-Run: 35*404*840*960 байт свободно Post-Run: 35*394*355*200 байт свободно - - End Of File - - 2914B0FB29039221FBFF13A654C8A1F3 тимвивер ставил я |
после выполнения ComboFix заработал AVZ. логи прикрепил
|
Вложений: 1
+ лог HiJackThis
|
Скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл) AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
beginСкачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Повторите лог AVZ, но только "Стандартный скрипт №3" Запустите AVZ.Меню "Файл" => "Обновление баз".Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip. Обновите Adobe Reader до последней версии Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"  Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up |
Вложений: 1
логи ниже
|
Чисто.ComboFix не забудьте удалить.
Проблема решена? Смените все важные пароли! Создайте новую контрольную точку восстановления и удалите зараженную: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендую вам придерживаться этих правил: 1.Не работайте с правами администратора 2.Используйте браузер Firefox с дополнением NoScript Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения 3.Устанавливайте все важные обновления Windows. 4.Ежедневно обновляйте антивирусные базы. |
да проблема решена спасибо большое
|
| Время: 17:16. |
Время: 17:16.
© OSzone.net 2001-