Jump to content

White_Falcon

Members
  • Content Count

    270
  • Joined

  • Last visited

Everything posted by White_Falcon

  1. Выполните скрипт в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\ctdrvinsall.exe'); QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll',''); QuarantineFile('C:\WINDOWS\updated7.exe',''); QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\zadofeza.exe',''); QuarantineFile('C:\WINDOWS\system32\mysuhoo.exe',''); DeleteService('jz27eex2y3lexi3'); DeleteService('i56yaei0xb1e0vye'); QuarantineFile('c:\windows\system32\ctdrvinsall.exe',''); DeleteFile('c:\windows\system32\ctdrvinsall.exe'); DeleteFile('C:\WINDOWS\system32\mysuhoo.exe'); DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Microsoft\zadofeza.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\updated7.exe'); BC_ImportDeletedList; BC_DeleteSvc('jz27eex2y3lexi3'); BC_DeleteSvc('i56yaei0xb1e0vye'); ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(13); BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Затем такой скрипт в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите. Подготовьте новый комплект логов.
  2. Интеграцию проводили? http://support.kaspersky.ru/faq/?qid=180593854
  3. Ознакомьтесь: http://forum.kaspersky.com/index.php?showtopic=160192
  4. Попробуйте обратиться в раздел по борьбе с вирусами.
  5. Это видно из вашего отчета GSI: Что об этом файле знает гугл: Этот метод нелегален.
  6. http://www.securitylab.ru/processinfo/265683.php
  7. Выполните, пожалуйста, эти правила. Полученные файлы отчетов прикрепите к сообщению.
  8. Подготовьте новые логи.
  9. Добрый день! Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\temp\a.exe'); QuarantineFile('C:\WINDOWS\system32\nnwqvfhc.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\3xHybrid.sys',''); QuarantineFile('c:\windows\temp\a.exe',''); DeleteFile('c:\windows\temp\a.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки пришлите карантин (в одноименной папке в директории с AVZ) по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите. Файл хостс не редактировали?
  10. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...): begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelCLSID('67KLN5J0-4OPM-61WE-KKX2-4217QWE23218'); QuarantineFile('C:\Boha\Elsabah\boh.exe',''); DeleteFile('C:\Boha\Elsabah\boh.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Сделайте логи заново.
  11. Попробуйте подготовить логи по правилам на данной машине.
  12. Пролечитесь при помощи LiveCD. После этого подготовьте логи.
  13. - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
  14. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...): begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\GERMAN\Application Data\CTdeveloping\PDF to DOC\install\pdftodoc.msi',''); QuarantineFile('C:\WINDOWS\system32\WLHooks.dll',''); QuarantineFile('C:\WINDOWS\Installer\MSI7C.tmp',''); QuarantineFile('C:\WINDOWS\system32\NHMS_message.dll',''); QuarantineFile('C:\WINDOWS\System32\wshext.dll',''); DeleteService('netsik'); QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\copystar.sys',''); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys',''); DeleteService('fips32cup'); QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); DeleteService('ati64si'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('C:\WINDOWS\Installer\MSI7C.tmp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Сделайте новые логи.
  15. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...): begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('uuwswe'); DeleteService('ujinhi'); DeleteService('pvmfwpv'); DeleteService('ponhrzai'); DeleteService('pglcpt'); DeleteService('kcoocuh'); DeleteService('iisncjul'); DeleteService('hiofauir'); DeleteService('gfngyagf'); DeleteService('eixebvp'); DeleteService('cpncmgys'); DeleteService('cllnvu'); DeleteService('anpqubzu'); DeleteFileMask('C:\WINDOWS\system32', '*.tmp', true); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('uuwswe'); BC_DeleteSvc('ujinhi'); BC_DeleteSvc('pvmfwpv'); BC_DeleteSvc('ponhrzai'); BC_DeleteSvc('pglcpt'); BC_DeleteSvc('kcoocuh'); BC_DeleteSvc('iisncjul'); BC_DeleteSvc('hiofauir'); BC_DeleteSvc('gfngyagf'); BC_DeleteSvc('eixebvp'); BC_DeleteSvc('cpncmgys'); BC_DeleteSvc('cllnvu'); BC_DeleteSvc('anpqubzu'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Делайте новые логи.
  16. Пофиксить в HJT (строки могут отсутствовать): O20 - Winlogon Notify: ngprv - ngprv.dll (file missing) AVZ -> Файл -> Мастер поиска и устранения проблем -> Пуск - по завершении сканирования исправьте найденные проблемы.
  17. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...): begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\drivers\gmenhs.sys',''); DeleteService('abp470n5'); DeleteFile('C:\WINDOWS\system32\drivers\gmenhs.sys'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportAll; ExecuteSysClean; ExecuteRepair(17); BC_DeleteSvc('abp470n5'); SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Обновите базы AVZ и повторите логи.
  18. готовьте новый комплект логов, т.е. выполните правила оформления запроса по новой.
  19. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...): begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}'); DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}'); QuarantineFile('C:\Documents and Settings\amen\Application Data\Desktopicon\eBayShortcuts.exe',''); DeleteFile('C:\Documents and Settings\amen\Application Data\Desktopicon\eBayShortcuts.exe'); DeleteFile('C:\DOCUME~1\amen\APPLIC~1\FieryAds\FieryAds.dll'); DeleteFile('C:\Documents and Settings\amen\Application Data\AdRiver\AdRiver.dll'); BC_ImportDeletedList; ExecuteSysclean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Пофиксите: O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\amen\APPLIC~1\FieryAds\FieryAds.dll (file missing) Выполняйте рекомендации внимательно и только на зараженной машине!!!
  20. Сохраните текст ниже как cleanup.bat в ту же папку, где находится qjqntodi.exe (gmer) qjqntodi.exe -del service rotscxqjtpdien qjqntodi.exe -del file "c:\windows\system32\drivers\rotscxtxoufnid.sys" qjqntodi.exe -del file "rotscxwsp8.dll" qjqntodi.exe -del file "c:\windows\system32\rotscxrbcvsbpx.dll" qjqntodi.exe -del file "c:\windows\system32\rotscxuecyetns.dat" qjqntodi.exe -del file "c:\windows\system32\rotscxellumwpy.dll" qjqntodi.exe -del file "c:\windows\system32\rotscxlqbrnior.dat" qjqntodi.exe -del file "c:\windows\system32\rotscxowkplxfm.dll" qjqntodi.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\rotscxqjtpdien" qjqntodi.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxqjtpdien" qjqntodi.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rotscxqjtpdien" qjqntodi.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rotscxqjtpdien" qjqntodi.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\rotscxqjtpdien" qjqntodi.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\rotscxqjtpdien" qjqntodi.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\rotscxqjtpdien" qjqntodi.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\rotscxqjtpdien" qjqntodi.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\rotscxqjtpdien" qjqntodi.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxqjtpdien" qjqntodi.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\rotscxqjtpdien" qjqntodi.exe -reboot И запустите cleanup.bat. Компьютер перезагрузится! Сделайте новый лог гмер. Добавлено Лог сделать по возможности в нормальном режиме thyrex
  21. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...): begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\RECYCLER\S-1-5-21-5512022207-5500737866-005602298-2574\csvcs.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2271776772-9288690920-905193864-7607\mwau.exe',''); TerminateProcessByName('c:\windows\w7services.exe'); QuarantineFile('c:\windows\w7services.exe',''); DeleteFile('c:\windows\w7services.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-2271776772-9288690920-905193864-7607\mwau.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-5512022207-5500737866-005602298-2574\csvcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Повторите логи.
  22. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...): begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C631322'); QuarantineFile('H:\KK.exe',''); QuarantineFile('H:\autorun.inf',''); DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}'); DelBHO('{88888888-8888-8888-8888-888888888888}'); DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}'); DelBHO('{0063BF63-BFFF-4B8F-9D26-4267DF7F17DD}'); DelBHO('{C94E154B-1459-4A47-966B-4B843BEFC7DB}'); DeleteService('ASKUpgrade'); DeleteFile('C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe'); DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll'); DeleteFile('C:\Program Files\AskSearch\bin\DefaultSearch.dll'); DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\bob.exe'); DeleteFile('H:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите. H:\KK.exe - kidokiller? Повторите логи.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.