Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Открыть новую тему     Написать ответ в эту тему

gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!!
ПРОСЬБА ЗАКРЫТЬ ТЕМУ

 

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013
Digital Ray



Massive Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
В шапке - рекомендованные файлообменники для логов. И ссылки не в ПМ, а прям в ветку.

Рекомендованные, но не обязательные?
А с чем связано требование только в ветку а не в ПМ..?


----------
Предпочитаю SRWare Iron -//- Маршруты Москвы -//- Православный календарь.

Всего записей: 3301 | Зарегистр. 31-12-2001 | Отправлено: 18:21 08-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Digital Ray
Потому что на ифолдере, как видите, удалили. И кроме того в ветке ответить могу не только я - её обслуживает ещё как минимум один человек

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 18:30 08-10-2010
Digital Ray



Massive Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Отредактировано

----------
Предпочитаю SRWare Iron -//- Маршруты Москвы -//- Православный календарь.

Всего записей: 3301 | Зарегистр. 31-12-2001 | Отправлено: 18:34 08-10-2010 | Исправлено: Digital Ray, 19:56 08-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Digital Ray
Ничего вредоносного не обнаружено.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 19:43 08-10-2010
Digital Ray



Massive Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gjf

Цитата:
Ничего вредоносного не обнаружено.

Понятно, спасибо. А где искать истоки проблемы?

----------
Предпочитаю SRWare Iron -//- Маршруты Москвы -//- Православный календарь.

Всего записей: 3301 | Зарегистр. 31-12-2001 | Отправлено: 19:57 08-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Digital Ray
Самое близкое, что смог найти - вот эта тема. Будут списывать на вирусы - можете сослаться, что сканирование ничего не выявило.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 20:37 08-10-2010
Digital Ray



Massive Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gjf
Спасибо, просто странно,
какое железо может генерировать запросы
к Эксплореру (это его звуки слышны в динамиках)
и пытается перейти по какой-то ссылке..?
в жизни никогда с таким не сталкивался...

----------
Предпочитаю SRWare Iron -//- Маршруты Москвы -//- Православный календарь.

Всего записей: 3301 | Зарегистр. 31-12-2001 | Отправлено: 21:06 08-10-2010 | Исправлено: Digital Ray, 21:07 08-10-2010
POHAN



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
здравствуйте gjf
 
Вот логи
 
Gmer.log                         http://rghost.ru/2859980
virusinfo_syscheck.zip      http://rghost.ru/2859981

Всего записей: 13 | Зарегистр. 28-11-2007 | Отправлено: 06:37 09-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
POHAN
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\okepoed.exe','');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\okepoed.exe');
 BC_ImportAll;
ExecuteSysClean;
 SetAVZPMStatus(false);
 ExecuteRepair(11); {разблокировка диспетчера задач}
 BC_Activate;
 RebootWindows(true);
end.

 
Система перезагрузится. После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно только пункта 2 (Диагностика)
Сделайте лог с помощью MBAM.
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Выполните скрипт:

Код:
 
var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
 

По окончанию Вам откроет папку с архивом. Это - карантин.
- Карантин пришлите мне на e-mail, как указано в шапке.
- Прикрепите новые логи к новому сообщению в этой ветке.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 20:06 09-10-2010
POHAN



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всё сделал  
 
virusinfo_syscheck.zip                             http://rghost.ru/2870743
mbam-log-2010-10-10 (14-21-01).rar       http://rghost.ru/2870742

Всего записей: 13 | Зарегистр. 28-11-2007 | Отправлено: 11:49 10-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
POHAN
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Удалите в MBAM.

Код:
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.

- Выполните скрипт:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\RECYCLER\S-1-5-21-9788018810-1266466500-795625687-1677\mcssc.exe');
 BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(11); {разблокировка диспетчера задач}
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится. После перезагрузки:
- Сделайте повторные логи согласно только пункта 2 (Диагностика)
- Прикрепите новые логи к новому сообщению в этой ветке.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 21:55 10-10-2010 | Исправлено: gjf, 22:00 10-10-2010
steppe9

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите, вирус замучил вот лог Combofix!

Код:
 
ComboFix 10-10-10.02 - oleg 11.10.2010   8:41.8.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1251.7.1049.18.1791.1355 [GMT 4:00]
Running from: J:\ComboFix.exe
Command switches used :: J:\CFScript.txt
 * Created a new restore point
 
FILE ::
"c:\program files\Common Files\jqyrg4inedzz13m"
"c:\windows\system32\55af13d0.exe"
"c:\windows\system32\80074bb0.exe"
"c:\windows\system32\isnvfo.exe"
"c:\windows\system32\ssofyj.exe"
.
 
(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
 
c:\program files\Common Files\jqyrg4inedzz13m
 
.
(((((((((((((((((((((((((   Files Created from 2010-09-11 to 2010-10-11  )))))))))))))))))))))))))))))))
.
 
2010-10-11 04:27 . 2010-10-11 04:47    --------    d-----w-    c:\program files\Common Files\3B5ABB7Fa
2010-10-11 04:22 . 2010-10-11 04:22    --------    d-----w-    C:\32788R22FWJFW.5.tmp
2010-10-08 12:45 . 2009-10-22 09:54    37392    ----a-w-    c:\windows\system32\drivers\21678472.sys
2010-10-08 12:45 . 2009-10-09 19:31    315408    ----a-w-    c:\windows\system32\drivers\2167847.sys
2010-10-08 12:45 . 2009-09-25 13:59    128016    ----a-w-    c:\windows\system32\drivers\21678471.sys
2010-10-08 12:38 . 2010-10-08 12:39    --------    d-----w-    C:\32788R22FWJFW.4.tmp
2010-10-08 12:00 . 2010-10-08 12:38    --------    d-----w-    C:\32788R22FWJFW.3.tmp
2010-10-08 09:02 . 2010-10-11 04:38    --------    d-----w-    c:\program files\Common Files\3b5abe6aa
2010-10-07 10:52 . 2010-10-07 10:52    --------    d-----w-    c:\documents and settings\elena\Local Settings\Application Data\Adobe
2010-10-01 05:45 . 2010-10-01 05:45    --------    d-----w-    c:\documents and settings\elena\Local Settings\Application Data\Google
2010-09-29 08:47 . 2010-09-29 08:48    --------    d-----w-    c:\windows\XSxS
2010-09-29 08:47 . 2010-09-29 08:47    --------    d-----w-    c:\program files\Xenocode
2010-09-29 08:35 . 2010-09-29 08:35    --------    d-----w-    c:\documents and settings\elena\Local Settings\Application Data\Thinstall
2010-09-29 08:35 . 2010-09-29 08:35    --------    d-----w-    c:\documents and settings\elena\Application Data\Thinstall
2010-09-28 10:07 . 2010-09-28 10:08    --------    d-----w-    C:\32788R22FWJFW.2.tmp
2010-09-28 10:06 . 2010-09-28 10:07    --------    d-----w-    C:\32788R22FWJFW.1.tmp
2010-09-28 09:11 . 2009-10-22 09:54    37392    ----a-w-    c:\windows\system32\drivers\27700912.sys
2010-09-28 09:11 . 2009-10-09 19:31    315408    ----a-w-    c:\windows\system32\drivers\2770091.sys
2010-09-28 09:11 . 2009-09-25 13:59    128016    ----a-w-    c:\windows\system32\drivers\27700911.sys
2010-09-28 07:51 . 2010-09-28 07:51    --------    d-----w-    c:\program files\Common Files\c4a54362
2010-09-28 07:33 . 2010-09-28 07:33    --------    d-----w-    c:\documents and settings\elena\DoctorWeb
2010-09-28 05:02 . 2010-09-28 05:02    --------    d-----w-    c:\documents and settings\elena\Local Settings\Application Data\Opera
2010-09-28 05:02 . 2010-09-28 05:02    --------    d-----w-    c:\program files\Opera
2010-09-27 13:24 . 2010-09-27 13:24    --------    d-sh--w-    c:\windows\system32\config\systemprofile\IETldCache
2010-09-23 11:18 . 2010-09-23 11:18    --------    d-----w-    c:\documents and settings\elena\Application Data\DivX
2010-09-23 07:57 . 2010-10-01 12:30    --------    d-----w-    c:\documents and settings\elena\Application Data\uTorrent
2010-09-23 07:08 . 2010-09-27 11:32    --------    d-----w-    c:\documents and settings\elena\Application Data\Yandex
2010-09-22 05:17 . 2010-09-28 04:57    --------    d-----w-    c:\documents and settings\elena\Local Settings\Application Data\Mozilla
2010-09-22 05:15 . 2010-09-22 05:15    --------    d-sh--w-    c:\documents and settings\elena\PrivacIE
2010-09-22 04:58 . 2010-10-05 05:17    --------    d-----w-    c:\documents and settings\elena\Application Data\gtk-2.0
2010-09-22 04:58 . 2010-09-22 04:58    --------    d-----w-    c:\documents and settings\elena\Application Data\inkscape
2010-09-22 04:58 . 2010-09-23 11:18    --------    d-----w-    c:\documents and settings\elena\Application Data\Media Player Classic
2010-09-22 04:58 . 2010-09-22 04:58    --------    d-----w-    c:\documents and settings\elena\Application Data\Mail.Ru
2010-09-22 04:58 . 2010-09-22 04:58    --------    d-----w-    c:\documents and settings\elena\Application Data\OpenOffice.org
2010-09-22 04:57 . 2010-10-06 07:04    --------    d-----w-    c:\documents and settings\elena\.gimp-2.6
2010-09-22 04:57 . 2010-09-22 04:58    --------    d-----w-    c:\documents and settings\elena\.thumbnails
2010-09-22 04:55 . 2010-09-22 05:04    --------    d-----w-    c:\documents and settings\elena\Application Data\Thunderbird
2010-09-22 04:55 . 2010-09-22 04:55    --------    d-----w-    c:\documents and settings\elena\Local Settings\Application Data\Thunderbird
 
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
 
(((((((((((((((((((((((((((((   SnapShot@2010-10-11_04.33.51   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-11 04:47 . 2010-10-11 04:47    16384              c:\windows\Temp\Perflib_Perfdata_1cc.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown  
REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-06-05 33628160]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-02 98304]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-06-09 15360]
 
c:\documents and settings\elena.BELAMOS.RU\ѓ« ў-®Ґ ¬Ґ-о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
 
c:\documents and settings\elena\ѓ« ў-®Ґ ¬Ґ-о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \
setup_9.0.0.722_28.09.2010_04-29.lnk - c:\documents and settings\elena\ђ Ў®зЁ© бв®«\Virus Removal Tool\setup_9.0.0.722_28.09.2010_04-29\startup.exe [2010-10-8 72208]
 
c:\documents and settings\All Users\ѓ« ў-®Ґ ¬Ґ-о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
 
c:\documents and settings\All Users\ѓ« ў-®Ґ ¬Ґ-о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \AutorunsDisabled
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
 
c:\documents and settings\elena\ѓ« ў-®Ґ ¬Ґ-о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \
setup_9.0.0.722_28.09.2010_04-29.lnk - c:\documents and settings\elena\ђ Ў®зЁ© бв®«\Virus Removal Tool\setup_9.0.0.722_28.09.2010_04-29\startup.exe [2010-10-8 72208]
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\fxyvkp.exe,"
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\persistentroutes]
"128.111.48.0,255.255.255.0,192.168.0.17,1"=""
"128.130.56.0,255.255.255.0,192.168.0.17,1"=""
"128.130.60.0,255.255.255.0,192.168.0.17,1"=""
"139.91.222.0,255.255.255.0,192.168.0.17,1"=""
"141.202.248.0,255.255.255.0,192.168.0.17,1"=""
"149.101.225.0,255.255.255.0,192.168.0.17,1"=""
"150.70.93.0,255.255.255.0,192.168.0.17,1"=""
"155.35.248.0,255.255.255.0,192.168.0.17,1"=""
"162.40.10.0,255.255.255.0,192.168.0.17,1"=""
"165.160.15.0,255.255.255.0,192.168.0.17,1"=""
"166.70.98.0,255.255.255.0,192.168.0.17,1"=""
"18.85.2.0,255.255.255.0,192.168.0.17,1"=""
"188.93.8.0,255.255.255.0,192.168.0.17,1"=""
"192.150.94.0,255.255.255.0,192.168.0.17,1"=""
"193.0.6.0,255.255.255.0,192.168.0.17,1"=""
"193.1.193.0,255.255.255.0,192.168.0.17,1"=""
"193.110.109.0,255.255.255.0,192.168.0.17,1"=""
"193.17.85.0,255.255.255.0,192.168.0.17,1"=""
"193.193.194.0,255.255.255.0,192.168.0.17,1"=""
"193.24.237.0,255.255.255.0,192.168.0.17,1"=""
"193.66.251.0,255.255.255.0,192.168.0.17,1"=""
"193.69.114.0,255.255.255.0,192.168.0.17,1"=""
"193.71.68.0,255.255.255.0,192.168.0.17,1"=""
"194.0.200.0,255.255.255.0,192.168.0.17,1"=""
"194.109.142.0,255.255.255.0,192.168.0.17,1"=""
"194.112.106.0,255.255.255.0,192.168.0.17,1"=""
"194.206.126.0,255.255.255.0,192.168.0.17,1"=""
"194.33.180.0,255.255.255.0,192.168.0.17,1"=""
"195.137.160.0,255.255.255.0,192.168.0.17,1"=""
"195.146.235.0,255.255.255.0,192.168.0.17,1"=""
"195.2.240.0,255.255.255.0,192.168.0.17,1"=""
"195.210.42.0,255.255.255.0,192.168.0.17,1"=""
"195.55.72.0,255.255.255.0,192.168.0.17,1"=""
"195.64.225.0,255.255.255.0,192.168.0.17,1"=""
"195.70.37.0,255.255.255.0,192.168.0.17,1"=""
"198.6.49.0,255.255.255.0,192.168.0.17,1"=""
"199.203.243.0,255.255.255.0,192.168.0.17,1"=""
"203.160.188.0,255.255.255.0,192.168.0.17,1"=""
"204.14.90.0,255.255.255.0,192.168.0.17,1"=""
"205.227.136.0,255.255.255.0,192.168.0.17,1"=""
"205.178.145.0,255.255.255.0,192.168.0.17,1"=""
"206.204.52.0,255.255.255.0,192.168.0.17,1"=""
"207.44.154.0,255.255.255.0,192.168.0.17,1"=""
"207.46.20.0,255.255.255.0,192.168.0.17,1"=""
"207.46.232.0,255.255.255.0,192.168.0.17,1"=""
"208.79.250.0,255.255.255.0,192.168.0.17,1"=""
"207.66.0.0,255.255.255.0,192.168.0.17,1"=""
"207.46.18.0,255.255.255.0,192.168.0.17,1"=""
"209.124.55.0,255.255.255.0,192.168.0.17,1"=""
"209.157.69.0,255.255.255.0,192.168.0.17,1"=""
"209.160.22.0,255.255.255.0,192.168.0.17,1"=""
"209.216.46.0,255.255.255.0,192.168.0.17,1"=""
"209.51.167.0,255.255.255.0,192.168.0.17,1"=""
"209.62.112.0,255.255.255.0,192.168.0.17,1"=""
"209.62.68.0,255.255.255.0,192.168.0.17,1"=""
"209.87.209.0,255.255.255.0,192.168.0.17,1"=""
"212.47.219.0,255.255.255.0,192.168.0.17,1"=""
"212.67.88.0,255.255.255.0,192.168.0.17,1"=""
"212.72.62.0,255.255.255.0,192.168.0.17,1"=""
"212.8.79.0,255.255.255.0,192.168.0.17,1"=""
"213.133.34.0,255.255.255.0,192.168.0.17,1"=""
"213.171.218.0,255.255.255.0,192.168.0.17,1"=""
"213.198.89.0,255.255.255.0,192.168.0.17,1"=""
"213.220.100.0,255.255.255.0,192.168.0.17,1"=""
"213.31.172.0,255.255.255.0,192.168.0.17,1"=""
"216.239.122.0,255.255.255.0,192.168.0.17,1"=""
"216.10.192.0,255.255.255.0,192.168.0.17,1"=""
"216.49.88.0,255.255.255.0,192.168.0.17,1"=""
"216.99.133.0,255.255.255.0,192.168.0.17,1"=""
"217.16.16.0,255.255.255.0,192.168.0.17,1"=""
"216.246.90.0,255.255.255.0,192.168.0.17,1"=""
"216.12.145.0,255.255.255.0,192.168.0.17,1"=""
"216.55.183.0,255.255.255.0,192.168.0.17,1"=""
"216.49.94.0,255.255.255.0,192.168.0.17,1"=""
"217.106.234.0,255.255.255.0,192.168.0.17,1"=""
"38.113.1.0,255.255.255.0,192.168.0.17,1"=""
"62.146.210.0,255.255.255.0,192.168.0.17,1"=""
"217.170.21.0,255.255.255.0,192.168.0.17,1"=""
"217.174.103.0,255.255.255.0,192.168.0.17,1"=""
"62.189.194.0,255.255.255.0,192.168.0.17,1"=""
"62.14.249.0,255.255.255.0,192.168.0.17,1"=""
"62.146.66.0,255.255.255.0,192.168.0.17,1"=""
"62.75.163.0,255.255.255.0,192.168.0.17,1"=""
"62.213.110.0,255.255.255.0,192.168.0.17,1"=""
"62.75.216.0,255.255.255.0,192.168.0.17,1"=""
"63.85.36.0,255.255.255.0,192.168.0.17,1"=""
"64.13.134.0,255.255.255.0,192.168.0.17,1"=""
"64.128.133.0,255.255.255.0,192.168.0.17,1"=""
"64.202.189.0,255.255.255.0,192.168.0.17,1"=""
"64.246.4.0,255.255.255.0,192.168.0.17,1"=""
"64.41.142.0,255.255.255.0,192.168.0.17,1"=""
"64.41.151.0,255.255.255.0,192.168.0.17,1"=""
"64.66.190.0,255.255.255.0,192.168.0.17,1"=""
"64.78.182.0,255.255.255.0,192.168.0.17,1"=""
"65.55.184.0,255.255.255.0,192.168.0.17,1"=""
"65.175.38.0,255.255.255.0,192.168.0.17,1"=""
"65.55.240.0,255.255.255.0,192.168.0.17,1"=""
"66.223.50.0,255.255.255.0,192.168.0.17,1"=""
"66.249.17.0,255.255.255.0,192.168.0.17,1"=""
"66.77.70.0,255.255.255.0,192.168.0.17,1"=""
"67.134.208.0,255.255.255.0,192.168.0.17,1"=""
"67.15.103.0,255.255.255.0,192.168.0.17,1"=""
"67.15.231.0,255.255.255.0,192.168.0.17,1"=""
"67.19.34.0,255.255.255.0,192.168.0.17,1"=""
"67.192.135.0,255.255.255.0,192.168.0.17,1"=""
"67.225.206.0,255.255.255.0,192.168.0.17,1"=""
"67.227.172.0,255.255.255.0,192.168.0.17,1"=""
"68.177.102.0,255.255.255.0,192.168.0.17,1"=""
"69.162.79.0,255.255.255.0,192.168.0.17,1"=""
"69.18.148.0,255.255.255.0,192.168.0.17,1"=""
"69.20.104.0,255.255.255.0,192.168.0.17,1"=""
"69.57.142.0,255.255.255.0,192.168.0.17,1"=""
"69.93.226.0,255.255.255.0,192.168.0.17,1"=""
"70.84.211.0,255.255.255.0,192.168.0.17,1"=""
"72.232.246.0,255.255.255.0,192.168.0.17,1"=""
"72.3.254.0,255.255.255.0,192.168.0.17,1"=""
"72.32.125.0,255.255.255.0,192.168.0.17,1"=""
"72.32.149.0,255.255.255.0,192.168.0.17,1"=""
"72.32.70.0,255.255.255.0,192.168.0.17,1"=""
"74.208.158.0,255.255.255.0,192.168.0.17,1"=""
"74.50.0.0,255.255.255.0,192.168.0.17,1"=""
"74.208.20.0,255.255.255.0,192.168.0.17,1"=""
"74.52.233.0,255.255.255.0,192.168.0.17,1"=""
"74.53.201.0,255.255.255.0,192.168.0.17,1"=""
"74.55.40.0,255.255.255.0,192.168.0.17,1"=""
"75.125.29.0,255.255.255.0,192.168.0.17,1"=""
"78.108.86.0,255.255.255.0,192.168.0.17,1"=""
"75.125.82.0,255.255.255.0,192.168.0.17,1"=""
"78.137.164.0,255.255.255.0,192.168.0.17,1"=""
"78.47.87.0,255.255.255.0,192.168.0.17,1"=""
"79.125.5.0,255.255.255.0,192.168.0.17,1"=""
"80.153.193.0,255.255.255.0,192.168.0.17,1"=""
"80.190.130.0,255.255.255.0,192.168.0.17,1"=""
"80.190.154.0,255.255.255.0,192.168.0.17,1"=""
"80.237.132.0,255.255.255.0,192.168.0.17,1"=""
"80.86.107.0,255.255.255.0,192.168.0.17,1"=""
"81.177.31.0,255.255.255.0,192.168.0.17,1"=""
"81.176.66.0,255.255.255.0,192.168.0.17,1"=""
"81.24.35.0,255.255.255.0,192.168.0.17,1"=""
"82.117.238.0,255.255.255.0,192.168.0.17,1"=""
"82.151.107.0,255.255.255.0,192.168.0.17,1"=""
"82.165.103.0,255.255.255.0,192.168.0.17,1"=""
"82.98.86.0,255.255.255.0,192.168.0.17,1"=""
"83.202.175.0,255.255.255.0,192.168.0.17,1"=""
"83.222.23.0,255.255.255.0,192.168.0.17,1"=""
"83.222.31.0,255.255.255.0,192.168.0.17,1"=""
"83.223.117.0,255.255.255.0,192.168.0.17,1"=""
"84.40.30.0,255.255.255.0,192.168.0.17,1"=""
"85.12.57.0,255.255.255.0,192.168.0.17,1"=""
"85.17.210.0,255.255.255.0,192.168.0.17,1"=""
"85.214.106.0,255.255.255.0,192.168.0.17,1"=""
"85.255.19.0,255.255.255.0,192.168.0.17,1"=""
"85.31.222.0,255.255.255.0,192.168.0.17,1"=""
"87.106.242.0,255.255.255.0,192.168.0.17,1"=""
"87.106.254.0,255.255.255.0,192.168.0.17,1"=""
"87.230.79.0,255.255.255.0,192.168.0.17,1"=""
"87.238.48.0,255.255.255.0,192.168.0.17,1"=""
"87.242.72.0,255.255.255.0,192.168.0.17,1"=""
"87.242.74.0,255.255.255.0,192.168.0.17,1"=""
"87.242.79.0,255.255.255.0,192.168.0.17,1"=""
"88.221.119.0,255.255.255.0,192.168.0.17,1"=""
"89.108.66.0,255.255.255.0,192.168.0.17,1"=""
"89.111.176.0,255.255.255.0,192.168.0.17,1"=""
"89.202.149.0,255.255.255.0,192.168.0.17,1"=""
"89.202.157.0,255.255.255.0,192.168.0.17,1"=""
"90.156.159.0,255.255.255.0,192.168.0.17,1"=""
"90.183.101.0,255.255.255.0,192.168.0.17,1"=""
"91.121.97.0,255.255.255.0,192.168.0.17,1"=""
"91.199.212.0,255.255.255.0,192.168.0.17,1"=""
"91.209.196.0,255.255.255.0,192.168.0.17,1"=""
"92.123.155.0,255.255.255.0,192.168.0.17,1"=""
"92.53.106.0,255.255.255.0,192.168.0.17,1"=""
"93.184.71.0,255.255.255.0,192.168.0.17,1"=""
"93.191.13.0,255.255.255.0,192.168.0.17,1"=""
"94.23.206.0,255.255.255.0,192.168.0.17,1"=""
"94.236.0.0,255.255.255.0,192.168.0.17,1"=""
"95.140.225.0,255.255.255.0,192.168.0.17,1"=""
"74.55.74.0,255.255.255.0,192.168.0.17,1"=""
"75.125.185.0,255.255.255.0,192.168.0.17,1"=""
"174.120.186.0,255.255.255.0,192.168.0.17,1"=""
"208.43.71.0,255.255.255.0,192.168.0.17,1"=""
"74.53.70.0,255.255.255.0,192.168.0.17,1"=""
"74.86.232.0,255.255.255.0,192.168.0.17,1"=""
"74.54.139.0,255.255.255.0,192.168.0.17,1"=""
"174.133.38.0,255.255.255.0,192.168.0.17,1"=""
"174.120.185.0,255.255.255.0,192.168.0.17,1"=""
"174.120.184.0,255.255.255.0,192.168.0.17,1"=""
"74.54.130.0,255.255.255.0,192.168.0.17,1"=""
"74.54.46.0,255.255.255.0,192.168.0.17,1"=""
"75.125.189.0,255.255.255.0,192.168.0.17,1"=""
"75.125.43.0,255.255.255.0,192.168.0.17,1"=""
"74.86.125.0,255.255.255.0,192.168.0.17,1"=""
"75.125.212.0,255.255.255.0,192.168.0.17,1"=""
"207.44.254.0,255.255.255.0,192.168.0.17,1"=""
"83.102.130.0,255.255.255.0,192.168.0.17,1"=""
"87.242.75.0,255.255.255.0,192.168.0.17,1"=""
"81.176.67.0,255.255.255.0,192.168.0.17,1"=""
"212.59.118.0,255.255.255.0,192.168.0.17,1"=""
"188.40.74.0,255.255.255.0,192.168.0.17,1"=""
"208.43.44.0,255.255.255.0,192.168.0.17,1"=""
"62.67.184.0,255.255.255.0,192.168.0.17,1"=""
"74.55.143.0,255.255.255.0,192.168.0.17,1"=""
"195.222.17.0,255.255.255.0,192.168.0.17,1"=""
"81.176.230.0,255.255.255.0,192.168.0.17,1"=""
"194.67.52.0,255.255.255.0,192.168.0.17,1"=""
"184.84.67.0,255.255.255.0,192.168.0.17,1"=""
"80.239.197.0,255.255.255.0,192.168.0.17,1"=""
"74.125.77.0,255.255.255.0,192.168.0.17,1"=""
"38.117.98.0,255.255.255.0,192.168.0.17,1"=""
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"j:\\WebServers\\usr\\local\\apache\\bin\\httpd.exe"=
"j:\\uTorrent\\uTorrent.exe"=
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16416:TCP"= 16416:TCP
 
R0 21678472;21678472 Boot Guard Driver;c:\windows\system32\drivers\21678472.sys [08.10.2010 16:45 37392]
R0 27700912;27700912 Boot Guard Driver;c:\windows\system32\drivers\27700912.sys [28.09.2010 13:11 37392]
R1 21678471;21678471;c:\windows\system32\drivers\21678471.sys [08.10.2010 16:45 128016]
R1 27700911;27700911;c:\windows\system32\drivers\27700911.sys [28.09.2010 13:11 128016]
R1 setup_9.0.0.722_28.09.2010_04-29drv;setup_9.0.0.722_28.09.2010_04-29drv;c:\windows\system32\drivers\2167847.sys [08.10.2010 16:45 315408]
R2 haspflt;haspflt;c:\windows\system32\drivers\haspflt.sys [01.03.2010 18:53 29024]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [26.02.2010 15:08 1374464]
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12    REG_MULTI_SZ       Pml Driver HPZ12 Net Driver HPZ12
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
fvoxg
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://start.qip.ru/
uDefault_Search_URL = hxxp://www.yandex.ru
TCP: {56091CA3-1AA1-4BAE-8D97-AFB86788DF39} = 81.94.128.4
FF - ProfilePath - c:\documents and settings\elena\Application Data\Mozilla\Firefox\Profiles\2v4vyvr5.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=ru&q=
FF - component: c:\documents and settings\elena\Application Data\Mozilla\Firefox\Profiles\2v4vyvr5.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);  
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);  
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- DLLs Loaded Under Running Processes ---------------------
 
- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll
 
- - - - - - - > 'explorer.exe'(2288)
c:\windows\system32\WININET.dll
c:\program files\Mozilla Firefox\nspr4.dll
c:\program files\Mozilla Firefox\plds4.dll
c:\program files\Mozilla Firefox\plc4.dll
c:\program files\Mozilla Firefox\sqlite3.dll
c:\program files\Mozilla Firefox\nssutil3.dll
c:\program files\Mozilla Firefox\softokn3.dll
c:\program files\Mozilla Firefox\nss3.dll
c:\program files\Mozilla Firefox\smime3.dll
c:\windows\system32\webcheck.dll
c:\program files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll
c:\program files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.RUS
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\program files\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
.
**************************************************************************
.
Completion time: 2010-10-11  08:49:32 - machine was rebooted
ComboFix-quarantined-files.txt  2010-10-11 04:49
ComboFix2.txt  2010-10-11 04:34
 
Pre-Run: 37 270 691 840 байт свободно
Post-Run: 37 259 137 024 байт свободно
 
- - End Of File - - E7F894D136199AC9563D95808A33DDCC
 
 
 

Всего записей: 3 | Зарегистр. 11-10-2010 | Отправлено: 09:07 11-10-2010
Bandrr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
 mbam-log   http://rghost.ru/2882187
 
AVAST при подключении к интернету постоянно нажодит win32 trojan gen

Всего записей: 68 | Зарегистр. 07-10-2007 | Отправлено: 12:06 11-10-2010 | Исправлено: Bandrr, 12:22 11-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
steppe9
Сделайте логи согласно правилам в шапке.
Bandrr
Больше ничего вредоносного в логах не видно.
Ещё какие-нибудь жалобы есть?


----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:24 11-10-2010
Bandrr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
только на win32 trojan gen

Всего записей: 68 | Зарегистр. 07-10-2007 | Отправлено: 12:29 11-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bandrr
Это кто так ругается?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:42 11-10-2010
Bandrr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Avast

Всего записей: 68 | Зарегистр. 07-10-2007 | Отправлено: 12:44 11-10-2010
steppe9

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Если вы имеете ввиду AVZ, то не могу.
AVZ Не запускается, (запускается на долю секунды и закрывается) на доктор веб зайти не могу как и на остальные антивирусные сайты.
 
Единственное это Combofix...
 
Помогите...

Всего записей: 3 | Зарегистр. 11-10-2010 | Отправлено: 12:47 11-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bandrr
На что конкретно? На какой файл?
 
steppe9
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:
KillAll::
 
File::
"c:\windows\system32\55af13d0.exe"
"c:\windows\system32\80074bb0.exe"
"c:\windows\system32\isnvfo.exe"
"c:\windows\system32\ssofyj.exe"
"C:\32788R22FWJFW.5.tmp"
"C:\32788R22FWJFW.4.tmp"
"C:\32788R22FWJFW.3.tmp"
"C:\32788R22FWJFW.2.tmp"
"C:\32788R22FWJFW.1.tmp"
 
 
Driver::
 
NetSvc::
 
Folder::
"c:\program files\Common Files\c4a54362"
"c:\program files\Common Files\3b5abe6aa"
"c:\program files\Common Files\3B5ABB7Fa"
"c:\program files\Common Files\jqyrg4inedzz13m"
 
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
 
FileLook::
 
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
   
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 13:11 11-10-2010
Bandrr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
v[1].exe в temp
1.exe в system 32
он их отлавливает, через какое то время появляются снова.
Похоже по локалке приходят.
 
Большое спасибо за помощь, лишних процессов нет, по логам HijackThis и AVZ всё чисто Dr.Web тоже ничего не находит.

Всего записей: 68 | Зарегистр. 07-10-2007 | Отправлено: 15:12 11-10-2010 | Исправлено: Bandrr, 15:19 11-10-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru