Показать полную графическую версию : [решено] Непонятные события в системе.
Илья_Рудоманенко@vk
19-11-2013, 19:02
Вот уже 3-й раз за последние 10 дней самоустанавливаются следующее ПО (см. скриншоты в архиве rghost.ru) и появляется файл skachat_ma на рабочем столе , и в системе появилась папка symbols. Помогите разобраться !
http://rghost.ru/50286558
Илья_Рудоманенко@vk, Скажите, почему я вижу по логу утилиту авз вы запускали первый раз отсюда автосборщиком логов
D:\Загрузки\Новая папка\AutoLogger\AVZ\avz.exeа второй раз отсюда
d:\Загрузки\Айболит\avz4\avz.exe?
Ярлыки удалить вручную не получается? Программу мой мир@майлру деинсталлировать через установку и удаление можно?
Илья_Рудоманенко@vk
19-11-2013, 20:18
Программу мой мир@майлру деинсталлировать через установку и удаление можно? »
А её там нет!Скажите, почему я вижу по логу утилиту авз вы запускали первый раз отсюда автосборщиком логов
Код:
D:\Загрузки\Новая папка\AutoLogger\AVZ\avz.exe
а второй раз отсюда
Код:
d:\Загрузки\Айболит\avz4\avz.exe
? »
Сначала я хотел сделать логи автосборщиком логов но на этапе проверки AVZ,проверка прервалась и решил сделать логи в ручную!
Я удалил всё это ПО, подчистил их хвосты в редакторе реестра, но так же я делал и в прошлые 2 раза, но через какое то время они вновь устанавливались.
Сначала я хотел сделать логи автосборщиком логов но на этапе проверки AVZ,проверка прервалась и решил сделать логи в ручную! »
скорее попросил сделать перезагрузку, которую вы делать не стали ;).
Сбор логов автоматически продолжился бы после перезагрузки.
Но на всякий случай
Выполните скрипт AVZ (запустите AVZ отсюда D:\Загрузки\Новая папка\AutoLogger\AVZ\avz.exe )
var PathAutoLogger, CMDLine : string;
begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
CMDLine := 'a "' + PathAutoLogger + '\Report.zip" "' + PathAutoLogger + '\report*.log"';
ExecuteFile('7z.exe', CMDLine, 0, 15000, true);
end.
После этого в папке D:\Загрузки\Новая папка\AutoLogger\ появится архив Report.zip прикрепите его к теме.
Илья_Рудоманенко@vk
19-11-2013, 21:31
вот...
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).
Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE14\Cultures\office.odf','');
QuarantineFile('C:\Users\Igor\AppData\Roaming\Downloaded Installations\AdobeFlashPlayerUpdater.exe','');
DeleteFile('C:\Users\Igor\AppData\Roaming\Downloaded Installations\AdobeFlashPlayerUpdater.exe','32');
DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-1-2-1298-9822','32');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
Сделайте новые логи с помощью AutoLogger.exe
если снова вылетит посреди работы, пожалуйста, обратите внимание на каком этапе.
Илья_Рудоманенко@vk
20-11-2013, 17:02
regist, Всё сделал!
Сделайте новые логи с помощью AutoLogger.exe »
Где?
Илья_Рудоманенко@vk
20-11-2013, 17:46
Sandor, Чуть позже, спешу.
Илья_Рудоманенко@vk
20-11-2013, 17:52
Позвольте дополнительный вопрос. Мне кажется, что всё это произошло, когда в настройках интеллектуального брандмауэра своего Norton IS я изменил настройки, На этой странице 107047 заменил режим "авто" на режим " разрешить " для IE, Google Chrome, uTorrent, хотя может и случайное совпадение. Вот не знаю, может надо " авто " вернуть ?!
" разрешить " для IE, Google Chrome, uTorrent, хотя может и случайное совпадение. Вот не знаю, может надо " авто " вернуть ?! »
может и не совпадение, раньше ковырял вирус который у вас он как раз выкачивает DVD фильмы по торренту.файл skachat_ma на рабочем столе »
это как раз и есть торрент файл. Возможно кроме заработка на партнёрской программе майл.ру авторы вируса подобным способом себе рейтинг для торрентов накручивают.
в общем ждём Сделайте новые логи с помощью AutoLogger.exe
если снова вылетит посреди работы, пожалуйста, обратите внимание на каком этапе. »
Илья_Рудоманенко@vk
20-11-2013, 19:52
Держите!
Илья_Рудоманенко@vk
23-11-2013, 18:36
Drongo, regist, Так не честно, ребята ! Привет. Вы сказали сделать логи после очистки, я сделал, выложил, а вы молчите. Я волнуюсь. А не могли бы сказать, что за папка " symbols " у меня появилась в системном разделе С ?
Илья_Рудоманенко@vk, Плохого в логах ничего не увидел. Что с проблемой-то?
По поводу папки не знаю даже, очень похоже на структуру каталогов различных украшалок системы. Они обычно тоже называют папки по имени файла, внутри них всякие картинки иконки, которые патчер потом заменяет на оригинале. Но это предположение.
Илья_Рудоманенко@vk
24-11-2013, 16:29
Drongo, По поводу папки не знаю даже, очень похоже на структуру каталогов различных украшалок системы »
Вообще то не похоже,посмотрите сами http://files.mail.ru/82E8DE7AD0764F3EA718C7F80A23BD14!
Илья_Рудоманенко@vk, Да, вы правы. Это не от пакета украшалок. Вы увлекаетесь анализом дампов памяти? В логах нашёл такую запись - Kdfe.cmd, после каждого анализа создаётся папка c:\symbols
Илья_Рудоманенко@vk
25-11-2013, 17:47
Drongo, Да,увлекаюсь,для развития.
Спасибо за консультацию,думал,что это в связи с рассмотренным ранее заражением.
Тема закрыта.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.