Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Слетает звуковой драйвер и оформление рабочего стола на стандартное. (http://forum.oszone.net/showthread.php?t=161071)

Zmeu 22-12-2009 01:59 1301289

Слетает звуковой драйвер и оформление рабочего стола на стандартное.
 
После запуска виндоуса, через пару минут проподает звуковые драйвера и пропадает оформление рабочего стола с выбраного оформления на стандартное, после этого оформление можно востановить, а обновление драйвера звука ничего не изменяет, звука как нету после пропажи драйвера так и не появляется после обновления. Только перезагрузка на пару минут востонавливает прежнее состояние, а потом снова таже пропажа драйвера, и слет оформления.

sanek_freeman 22-12-2009 08:32 1301399

  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Повторите логи AVZ и сделайте лог RSIT.

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

okshef 22-12-2009 10:32 1301456

Zmeu, почему вы перед проверкой не обновили базы AVZ? Почему логи выполнены в безопасном режиме? Файл Hosts сами редактировали?

thyrex 22-12-2009 18:04 1301806

Цитата:

Цитата okshef
Файл Hosts сами редактировали? »

Да вряд ли он это делал сам. Закрыт доступ к антивирусным сайтам.

Zmeu, дополнительно к предыдущим советам

Выполните скрипт в AVZ
Код:

begin
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

Попробуйте выполнить все рекомендации по данной ссылке http://support.kaspersky.ru/kis2009/error?qid=208636215

Zmeu 22-12-2009 18:14 1301817

Malwarebytes' Anti-Malware 1.42
Версия базы данных: 3408
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

22.12.2009 17:12:19
mbam-log-2009-12-22 (17-12-19).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 126010
Прошло времени: 10 minute(s), 56 second(s)

Заражено процессов в памяти: 5
Заражено модулей в памяти: 0
Заражено ключей реестра: 1
Заражено значений реестра: 10
Заражено параметров реестра: 4
Заражено папок: 0
Заражено файлов: 29

Заражено процессов в памяти:
C:\WINDOWS\mshost.exe (Trojan.Buzus) -> Unloaded process successfully.
C:\WINDOWS\system32\umdmgr.exe (Trojan.Buzus) -> Unloaded process successfully.
C:\WINDOWS\system32\wshost32.exe (Trojan.Buzus) -> Unloaded process successfully.
C:\Documents and Settings\Администратор\Local Settings\Temp\440.exe (Trojan.Buzus) -> Unloaded process successfully.
C:\WINDOWS\jjdrive32.exe (Backdoor.Bot) -> Failed to unload process.

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wshost32 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mshost (Trojan.Buzus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\radb42fc.tmp (Trojan.Buzus) -> Quarantined and deleted successfully.

thyrex 22-12-2009 18:17 1301821

Выполните скрипт из сообщения №4 (мое предыдущее сообщение) + сделайте логи из нормального режима

Zmeu 22-12-2009 18:20 1301823

Я следоапл указаниям, и там было написано что нужно проверить в безопасном режиме !

sanek_freeman 22-12-2009 19:33 1301863

Цитата:

Цитата Zmeu
Я следоапл указаниям, и там было написано что нужно проверить в безопасном режиме ! »

Где такое написано? Приведите ссылку и цитату.

В общем выполните рекомендации из поста #6.

Zmeu 22-12-2009 19:39 1301868

Цитата:

Попробуйте выполнить все рекомендации по данной ссылке http://support.kaspersky.ru/kis2009/error?qid=208636215
Я выполнил, перезагрузил, и проверил антивирусом авира , ничего не происходит все по прежнему, антивирус нашел как обычно несколько вирусов но после нажатия кнопкуи удалить эти файлы они не удаляются !

sanek_freeman 22-12-2009 20:25 1301893

Zmeu, делайте еще раз логи (в нормальном режиме).

Zmeu 22-12-2009 20:33 1301901

Вот все в нормальном режимие

thyrex 22-12-2009 20:46 1301910

Выполните скрипт в AVZ
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\dchn.sco','');
DeleteFile('c:\windows\system32\dchn.sco');
 QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll','');
 QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-7951533974-4057461734-013824168-3203\wmfcgr.exe','');
 TerminateProcessByName('c:\windows\system32\umdmgr.exe');
 QuarantineFile('c:\windows\system32\umdmgr.exe','');
 TerminateProcessByName('c:\windows\mshost.exe');
 QuarantineFile('c:\windows\mshost.exe','');
 DeleteFile('c:\windows\mshost.exe');
 DeleteFile('c:\windows\system32\umdmgr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-7951533974-4057461734-013824168-3203\wmfcgr.exe');
 DeleteFile('C:\WINDOWS\jjdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mshost');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rad493B2.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rad5DBC2.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','radFD3FB.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Zmeu 22-12-2009 21:41 1301970

зачем делать еще новые логи ?

iskander-k 22-12-2009 21:43 1301971

Цитата:

Цитата Zmeu
зачем делать еще новые логи ? »

Раз просят значит надо.
Для того чтобы убедится что в системе ничего не осталось.

sanek_freeman 22-12-2009 21:44 1301972

Цитата:

Цитата Zmeu
зачем делать еще новые логи ? »

Затем чтоб после выполнения скрипта убедится что зловред полностью удален.

Zmeu 22-12-2009 21:45 1301973

делать по той же процедуре , что и раньше ?

отсюда newvirus@kaspersky.com ответа пока нет ....

Цитата:

Цитата sanek_freeman
Затем чтоб после выполнения скрипта убедится что зловред полностью удален. »

зловредл в данный момент в очередной раз после перезагрузке сбросил дрова и оформление !
Авира находит кучу вирусов , но не может удалить их и поместить в карантин

sanek_freeman 22-12-2009 22:10 1301996

Цитата:

Цитата Zmeu
делать по той же процедуре , что и раньше ? »

Да.
Цитата:

Цитата Zmeu
отсюда newvirus@kaspersky.com ответа пока нет .... »

Ясно. Как появится - обязательно напишите его здесь.
Цитата:

Цитата Zmeu
Авира находит кучу вирусов , но не может удалить их и поместить в карантин »

Перед тем как сделать логи после выполнения скрипта, попробуйте проверить с-му утилитой CureIT.

Zmeu 22-12-2009 22:16 1302001

vot novue logi, y menia propadaet teper' iazukovaia panel' !!!!

Zmeu 22-12-2009 22:17 1302002

CureIT. ne zagryjaetsia !

iskander-k 22-12-2009 22:37 1302020

Попробуйте

Скачайте get3 - распакуйте и запустите в следующем сообщении присоедините файлик drv.sys который появляется в папке, откуда вы запускали get3.

Zmeu 22-12-2009 22:49 1302033

не скачиваеться !

iskander-k 23-12-2009 00:10 1302099

Цитата:

Цитата Zmeu
не скачиваеться ! »

Почему ? Что при этом происходит ?
Ссылка рабочая (проверил) .

thyrex 23-12-2009 00:42 1302119

Выполните скрипт в AVZ
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\87IFFGYY\vs8[1].exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\950.exe','');
 TerminateProcessByName('c:\windows\usbmagr.exe');
 QuarantineFile('c:\windows\usbmagr.exe','');
 TerminateProcessByName('c:\windows\usbdrv.exe');
 QuarantineFile('c:\windows\usbdrv.exe','');
 TerminateProcessByName('c:\windows\mshost.exe');
 QuarantineFile('c:\windows\mshost.exe','');
 TerminateProcessByName('c:\windows\system32\drivers\czhrf.exe');
 QuarantineFile('c:\windows\system32\drivers\czhrf.exe','');
 DeleteFile('c:\windows\system32\drivers\czhrf.exe');
 DeleteFile('c:\windows\mshost.exe');
 DeleteFile('c:\windows\usbdrv.exe');
 DeleteFile('c:\windows\usbmagr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mshost');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Serial Bus device');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Bus device');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\950.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\87IFFGYY\vs8[1].exe');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('%userprofile%\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Zmeu 23-12-2009 07:41 1302215

Цитата:

Цитата iskander-k
Почему ? Что при этом происходит ?
Ссылка рабочая (проверил) . »

не загр стр с сылкой

Цитата:

Цитата thyrex
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. »

отправил, с прошлого сообщения ответа нет.

Zmeu 23-12-2009 08:01 1302222

novue logi

sanek_freeman 23-12-2009 08:31 1302233

Опять те же зловреды:
Цитата:

c:\windows\system32\drivers\czhrf.exe
c:\windows\usbdrv.exe
c:\windows\usbmagr.exe
c:\windows\mshost.exe
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
 TerminateProcessByName('c:\windows\mshost.exe');
 TerminateProcessByName('c:\windows\usbmagr.exe');
 TerminateProcessByName('c:\windows\usbdrv.exe');
 TerminateProcessByName('c:\windows\system32\drivers\czhrf.exe');
 QuarantineFile('c:\windows\mshost.exe','');
 QuarantineFile('c:\windows\usbmagr.exe','');
 QuarantineFile('c:\windows\usbdrv.exe','');
 QuarantineFile('c:\windows\system32\drivers\czhrf.exe','');
 DeleteFile('c:\windows\system32\drivers\czhrf.exe');
 DeleteFile('c:\windows\usbdrv.exe');
 DeleteFile('c:\windows\usbmagr.exe');
 DeleteFile('c:\windows\mshost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт
Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Обязательно сделайте эти логи.

Zmeu 23-12-2009 18:11 1302713

Вложений: 2
ЭТО ЛОГ ПО COMBO FIX !!!

Код:

--------------------------------------------------------------------------------------------------------------
ComboFix 09-12-22.07 - Администратор 23.12.2009  16:34:31.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1251.7.1049.18.3583.3306 [GMT 3:00]
Running from: d:\installs\Программы для Windows\ComboFix.exe
AV: ESET Smart Security 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Персональный файервол ESET *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Common Files\keylog.txt
c:\program files\IEToolbar404\find404.com search engine\tbHElper.dll
c:\recycler\S-1-5-21-3504091190-7587853305-832207285-0224
c:\recycler\S-1-5-21-7951533974-4057461734-013824168-3203
c:\recycler\S-1-5-21-8019161374-7979388734-412460543-7387
c:\windows\logfile32.txt
c:\windows\system32\57.exe
c:\windows\system32\77.exe
c:\windows\system32\78.exe
c:\windows\system32\i
c:\windows\system32\vbrun100.dll
C:\x5p2a1x8j5w6.exe

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OREANS32
-------\Service_oreans32


(((((((((((((((((((((((((  Files Created from 2009-11-23 to 2009-12-23  )))))))))))))))))))))))))))))))
.

2009-12-23 13:17 . 2009-12-23 13:17        --------        d-----w-        c:\documents and settings\Администратор\Local Settings\Application Data\ApplicationHistory
2009-12-23 13:17 . 2009-12-23 13:17        136        ----a-w-        c:\documents and settings\Администратор\Local Settings\Application Data\fusioncache.dat
2009-12-23 13:16 . 2009-12-23 13:16        38912        ----a-w-        c:\windows\system32\15.scr
2009-12-22 19:07 . 2009-12-22 19:07        38912        ----a-w-        c:\windows\system32\26.scr
2009-12-22 18:32 . 2004-06-14 11:56        427864        ----a-w-        c:\windows\system32\XceedZip.dll
2009-12-22 18:32 . 2009-12-22 18:32        --------        d-----w-        c:\program files\Driver-Soft
2009-12-22 18:13 . 2009-12-22 18:13        38912        ----a-w-        c:\windows\system32\74.scr
2009-12-22 17:36 . 2009-12-22 17:36        --------        d-----w-        c:\documents and settings\Администратор\Local Settings\Application Data\Identities
2009-12-22 17:31 . 2009-12-22 19:08        135168        ----a-w-        c:\windows\system32\mini.exe
2009-12-22 17:31 . 2009-12-22 19:08        147456        ----a-w-        c:\windows\system32\Ms16.exe
2009-12-22 17:31 . 2009-12-22 17:31        38912        ----a-w-        c:\windows\system32\44.scr
2009-12-22 17:23 . 2009-12-22 17:23        --------        d-----w-        c:\documents and settings\Администратор\Local Settings\Application Data\ESET
2009-12-22 17:20 . 2009-12-22 17:20        --------        d-----w-        c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2009-12-22 17:07 . 2009-12-22 17:07        --------        d-----w-        c:\documents and settings\Администратор\Application Data\ESET
2009-12-22 17:06 . 2009-12-22 17:06        --------        d-----w-        c:\documents and settings\All Users\Application Data\ESET
2009-12-22 16:00 . 2009-12-22 16:04        11264        ----a-w-        c:\windows\system32\drivers\uze5otcy.sys
2009-12-22 13:45 . 2009-12-22 13:45        --------        d-----w-        c:\documents and settings\Администратор\Application Data\Malwarebytes
2009-12-22 13:45 . 2009-12-03 13:14        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-22 13:45 . 2009-12-22 13:45        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2009-12-22 13:45 . 2009-12-22 13:45        --------        d-----w-        c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-22 13:45 . 2009-12-03 13:13        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
2009-12-22 10:42 . 2009-12-22 13:22        0        ----a-w-        c:\windows\system32\drivers\vieqvowm.sys
2009-12-22 10:42 . 2009-12-22 10:42        --------        d-----w-        c:\program files\IEToolbar404
2009-12-22 10:42 . 2009-12-22 10:42        --------        d-----w-        c:\windows\Sun
2009-12-21 21:11 . 2009-12-23 03:58        67584        ----a-w-        c:\windows\system32\ccda_v8.exe
2009-12-21 20:25 . 2009-12-21 20:25        388096        ----a-r-        c:\documents and settings\Администратор\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2009-12-21 20:25 . 2009-12-21 20:25        --------        d-----w-        c:\program files\TrendMicro
2009-12-21 20:08 . 2009-12-21 20:08        --------        d-----w-        c:\documents and settings\Администратор\DoctorWeb
2009-12-21 19:55 . 2005-01-03 06:43        4682        ----a-w-        c:\windows\system32\npptNT2.sys
2009-12-21 19:55 . 2009-12-21 19:55        --------        d-----w-        c:\program files\Common Files\INCA Shared
2009-12-21 19:55 . 2009-12-21 19:55        33824        ----a-w-        c:\windows\system32\drivers\oreans32.sys
2009-12-21 18:58 . 2009-12-21 18:58        0        ----a-w-        c:\windows\nsreg.dat
2009-12-21 18:58 . 2009-12-21 18:58        --------        d-----w-        c:\documents and settings\Администратор\Local Settings\Application Data\Mozilla
2009-12-21 18:37 . 2009-12-21 18:37        --------        d-----w-        c:\program files\FlylinkDC++

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-23 13:00 . 2009-12-21 14:38        --------        d-----w-        c:\program files\AIMP2
2009-12-22 18:36 . 2009-12-22 18:35        --------        d-----w-        c:\program files\K-Lite Codec Pack
2009-12-22 18:35 . 2009-12-22 18:35        --------        d-----w-        c:\documents and settings\Администратор\Application Data\Media Player Classic
2009-12-21 17:01 . 2009-12-21 14:47        --------        d-----w-        c:\program files\ACAD2000
2009-12-21 15:51 . 2009-12-21 14:07        --------        d--h--w-        c:\program files\InstallShield Installation Information
2009-12-21 15:38 . 2009-12-21 14:07        --------        d-----w-        c:\program files\Realtek
2009-12-21 14:50 . 2009-12-21 14:35        72224        ----a-w-        c:\documents and settings\Администратор\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-21 14:47 . 2009-12-21 14:47        --------        d-----w-        c:\program files\Common Files\Autodesk Shared
2009-12-21 14:39 . 2009-12-21 14:34        --------        d-----w-        c:\program files\Total Commander
2009-12-21 14:37 . 2009-12-21 14:37        --------        d-----w-        c:\program files\Magic Gooddy
2009-12-21 14:35 . 2009-12-21 14:35        --------        d-----w-        c:\program files\RocketDock
2009-12-21 14:34 . 2009-12-21 14:34        --------        d-----w-        c:\program files\Opera
2009-12-21 14:34 . 2009-12-21 14:34        --------        d-----w-        c:\documents and settings\Администратор\Application Data\Nokia
2009-12-21 14:34 . 2009-12-21 14:34        --------        d-----w-        c:\documents and settings\All Users\Application Data\PC Suite
2009-12-21 14:34 . 2009-12-21 14:34        --------        d-----w-        c:\documents and settings\Администратор\Application Data\PC Suite
2009-12-21 14:30 . 2009-12-21 14:30        --------        d-----w-        c:\program files\Common Files\PCSuite
2009-12-21 14:30 . 2009-12-21 14:30        --------        d-----w-        c:\program files\Common Files\Nokia
2009-12-21 14:30 . 2009-12-21 14:30        --------        d-----w-        c:\program files\Nokia
2009-12-21 14:30 . 2009-12-21 14:30        --------        d-----w-        c:\program files\DIFX
2009-12-21 14:30 . 2009-12-21 14:30        --------        d-----w-        c:\program files\PC Connectivity Solution
2009-12-21 14:30 . 2009-12-21 14:30        95232        ----a-w-        c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\pcswpcsi.exe
2009-12-21 14:30 . 2009-12-21 14:30        8192        ----a-w-        c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstCCD.exe
2009-12-21 14:30 . 2009-12-21 14:30        61440        ----a-w-        c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-12-21 14:30 . 2009-12-21 14:30        10240        ----a-w-        c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCS.exe
2009-12-21 14:30 . 2009-12-21 14:30        --------        d-----w-        c:\documents and settings\All Users\Application Data\Installations
2009-12-21 14:29 . 2009-12-21 14:29        --------        d-----w-        c:\program files\VKLife
2009-12-21 14:28 . 2009-12-21 14:28        --------        d-----w-        c:\program files\Microsoft.NET
2009-12-21 14:22 . 2008-04-15 12:00        64760        ----a-w-        c:\windows\system32\perfc019.dat
2009-12-21 14:22 . 2008-04-15 12:00        421150        ----a-w-        c:\windows\system32\perfh019.dat
2009-12-21 14:07 . 2009-12-21 14:07        --------        d-----w-        c:\program files\AMD
2009-12-21 14:02 . 2009-12-21 14:02        --------        d-----w-        c:\program files\Common Files\InstallShield
2009-12-21 14:02 . 2009-12-21 14:02        --------        d-----w-        c:\program files\Yahoo!
2009-12-21 13:54 . 2009-12-21 13:54        --------        d-----w-        c:\program files\microsoft frontpage
2009-12-21 13:54 . 2009-12-21 13:54        --------        d-----w-        c:\program files\VistaDriveIcon
2009-12-21 13:54 . 2009-12-21 13:54        717296        ----a-w-        c:\windows\system32\drivers\sptd.sys
2009-12-21 13:54 . 2009-12-21 13:53        --------        d-----w-        c:\program files\Java
2009-12-21 13:53 . 2009-12-21 13:53        --------        d-----w-        c:\program files\Common Files\Java
2009-12-21 13:51 . 2009-12-21 13:51        86327        ----a-w-        c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-12-21 13:48 . 2009-12-21 13:48        22564        ----a-w-        c:\windows\system32\emptyregdb.dat
2009-12-21 13:47 . 2009-12-21 13:47        --------        d-----w-        c:\program files\System
2009-12-21 13:47 . 2009-12-21 13:47        --------        d-----w-        c:\program files\Windows Media Connect 2
2009-12-11 18:00 . 2009-12-22 18:35        85504        ----a-w-        c:\windows\system32\ff_vfw.dll
2009-11-25 08:19 . 2009-12-21 14:45        56816        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2009-10-06 15:54 . 2009-12-21 16:38        5922816        ----a-w-        c:\windows\system32\drivers\RtkHDAud.sys
2009-10-06 13:34 . 2009-12-21 16:38        18750976        ----a-w-        c:\windows\RTHDCPL.EXE
2009-09-29 15:38 . 2009-12-21 15:38        352256        ----a-w-        c:\windows\vncutil.exe
.

------- Sigcheck -------

[-] 2008-04-15 . EAEC6EA32BDABD7622371C10B8D68A17 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

[-] 2008-07-16 . EC5B872AC2BF6DEA91D1DE3E8B8289BF . 76632 . . [7.1.6001.65] . . c:\windows\system32\wuauclt.exe

[-] 2008-07-16 . 4378CDCD0EDB9BA360B44591B09A50E7 . 691200 . . [5.82] . . c:\windows\system32\comctl32.dll

[-] 2008-07-16 . 047953A8B30891F5F8F0BF68ABFEA339 . 2286592 . . [5.1.2600.5586] . . c:\windows\system32\ntoskrnl.exe

[-] 2008-07-16 . 371C41F777924F3EA3BFAD18C6A04502 . 584192 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

[-] 2008-07-16 . FD5DD7FC4240E3DFFB0BBD40DBABF4B1 . 948224 . . [7.00.6000.20815] . . c:\windows\system32\wininet.dll

[-] 2008-07-16 . 5116FC3994DF129F40B9DDBCCC394195 . 1597952 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2008-07-16 . A20D3430A2FF4E619FE9FAA1D2FD2970 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2008-07-16 . 17A73D46CA1D681CEE05658A2F4419DA . 17408 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

[-] 2008-07-16 . 9C8B91FF9F5CC6C6C17A1593255F46D3 . 2165248 . . [5.1.2600.5586] . . c:\windows\system32\ntkrnlpa.exe
.
(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-10 8429568]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.12.2009 16:54 717296]
R1 uze5otcy;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uze5otcy.sys [22.12.2009 19:00 11264]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [21.12.2009 18:38 1684736]
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
TCP: {5209C0EB-BC4A-4044-AE76-FCB63B2B6F2F} = 109.86.2.2,109.86.2.21
FF - ProfilePath - c:\documents and settings\Администратор\Application Data\Mozilla\Firefox\Profiles\4sxg4a6k.default\
FF - prefs.js: browser.search.selectedEngine - Google
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-23 16:39
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spnz.sys >>UNKNOWN [0x8A472938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf765bf28
\Driver\ACPI -> ACPI.sys @ 0xf7496cb8
\Driver\atapi -> atapi.sys @ 0xf7978b40
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e66aa
 ParseProcedure -> ntoskrnl.exe @ 0x8057b6b9
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e66aa
 ParseProcedure -> ntoskrnl.exe @ 0x8057b6b9
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xbaf12bb0
 PacketIndicateHandler -> NDIS.sys @ 0xbaf01a0d
 SendHandler -> NDIS.sys @ 0xbaf15b40
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(772)
c:\windows\system32\cscui.dll

- - - - - - - > 'explorer.exe'(640)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\msi.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\wpdshserviceobj.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_rus.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
c:\program files\Opera\opera.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Completion time: 2009-12-23  16:40:53 - machine was rebooted
ComboFix-quarantined-files.txt  2009-12-23 13:40

Pre-Run: 12*106*149*888 байт свободно
Post-Run: 12*130*439*168 байт свободно

- - End Of File - - AD441557829FA26D59A76A89AEB4F41C


Zmeu 23-12-2009 18:14 1302717

трижды отправил на newvirus@kaspersky.com и не одного ответа нет !

thyrex 23-12-2009 18:24 1302736

Как обстоят дела после выполнения скрипта ComboFix?

Zmeu 23-12-2009 18:29 1302742

по прежнему!!!

Drongo 23-12-2009 19:47 1302783

Zmeu, Попробуйте ещё утилиту SDFix

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

iskander-k 23-12-2009 20:07 1302793

Попробуйте утилиту W32/Buzus Trojan Cleaner 1.0: для удаления вашего трояна W32/Buzus Trojan -
скачать можно нажав на External Mirror 1 [EXE] -- http://www.softpedia.com/progDownloa...ad-104190.html

скачайте и запустите и следуйте рекомендациям для поиска и удаления W32/Buzus Trojan


Честно говоря этой утилитой еще не пользовался.


Если зайти на сайт не сможете или не сможете скачать - скажите я вам её скину куда-нибудь. Она небольшая 380 кб.

Zmeu 23-12-2009 20:55 1302823

вот что выдал SDFix
------------------------------

SDFix: Version 1.240
Run by Ђ¤¬Ё*Ёбва*в®а on 23.12.2009 at 19:48

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\77.exe - Deleted
C:\WINDOWS\system32\i - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-23 19:50:22
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"!\0045\4B\0045\0042\4>\49\4 ?0\0044\0040\4?\4B\0045\4@\4 ?1?3?9?4?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"!\0045\4B\0045\0042\4>\49\4 ?0\0044\0040\4?\4B\0045\4@\4 ?1?3?9?4?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"!\0045\4B\0045\0042\4>\49\4 ?0\0044\0040\4?\4B\0045\4@\4 ?1?3?9?4?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4"=str(2):"%SYSTEMROOT%\Cursors\I_arrow.cur,%SYSTEMROOT%\Cursors\ I_help.cur,%SYSTEMROOT%\Cursors\I_wait.cur,%SYSTEMROOT%\Cursors\I_busy.cur,%SYSTEMROOT%\Cursors\I_cr oss.cur,%SYSTEMROOT%\Cursors\I_beam.cur,%SYSTEMROOT%\Cursors\I_pen.cur,%SYSTEMROOT%\Cursors\I_no.cur ,%SYSTEMROOT%\Cursors\I_size4.cur,%SYSTEMROOT%\Cursors\I_size3.cur,%SYSTEMROOT%\Cursors\I_size2.cur, %SYSTEMROOT%\Cursors\I_size1.cur,%SYSTEMROOT%\Cursors\I_move.cur,%SYSTEMROOT%\Cursors\I_up.cur,"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DocFolderPaths]
"\20\0044\4<\48\4=\48\4A\4B\4@\0040\4B\4>\4@\4"="C:\Documents and Settings\4<8=8AB@0B>@\>8 4>:C<5=BK"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups]
"\30\0043\4@\4K\4"="!B0=40@B=K5\3@K"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :


Finished!

iskander-k 23-12-2009 21:03 1302828

Что-то изменилось ?
Пробовали утилиту ?
Цитата:

Цитата iskander-k
W32/Buzus Trojan Cleaner 1.0 »


Сделайте новые логи.

Zmeu 23-12-2009 21:05 1302831

Цитата:

Цитата iskander-k
Попробуйте утилиту W32/Buzus Trojan Cleaner 1.0: »

ничего не нашел !!!!!!

iskander-k 23-12-2009 21:15 1302838

Цитата:

Цитата Zmeu
ничего не нашел !!!!!! »

Кто не нашел ? Вы не нашли или утилита ?

Если не помогла утилита - попробуйте эту - http://www.scanforfree.com/21/trojan-buzus-remover.html

скачать по ссылкам в оранжевой рамке. Инструкция по применению утилит в оранжевой рамке.

Zmeu 23-12-2009 23:17 1302948

заметил закономеность, что драйвер звука и оформление спадают тогда , если есть подключение к сети, ну и соотв к иннету. А без подключения не спадают !
Сейчас будут логи по утелитам ...

Zmeu 24-12-2009 20:42 1303578

Вложений: 2
вот логи от regСure
Pareto Logic нашла но удалить просить ключ регестрации у меня к сожалению нет =(((

Zmeu 24-12-2009 20:51 1303588

РЕБЯТА ПОМОГИТЕ ПЖ , УЖЕ ПОЧТИ НЕДЕЛЮ ПАРЮСЬ,НЕ МОГУ НОРМАЛЬНО РАБОТАТЬ ЗА ПК !!!

iskander-k 24-12-2009 20:56 1303593

Цитата:

Цитата Zmeu
Pareto Logic нашла но удалить просить ключ регестрации »

А лог этой проги есть ? И как назвало найденное ?

Zmeu 24-12-2009 21:18 1303609

Цитата:

Цитата iskander-k
Pareto Logic »

не создает логи !
Она как антивир

найденное назвало 3 червя и 3 трояна

iskander-k 24-12-2009 21:28 1303617

Попробуйте скачать пробную версию касперского http://www.kaspersky.ru/trials обновите базы и проверьте компьютер обновите базы и проверьте снова. В базах каперского есть определения этого вируса. Ваш собственный антивирус должен быть или отключен или удален с компа.


попробуйте эту утилиту http://www.spywareremove.com/removeTrojanBuzus.html

Zmeu 25-12-2009 00:26 1303713

Проверил касперским 8ым, нашло кучу троянов и вирусов, удалило и вылечило что могло, но проблема осталась !!!!!!!

spy hunter вообще ничего не нашел !

iskander-k 25-12-2009 12:52 1303938

Цитата:

Цитата Zmeu
Проверил касперским 8ым, нашло кучу троянов и вирусов, удалило и вылечило что могло, »

Обновите и проверьте снова, пока не перестанет находить вирусы.

И сделайте новые логи.

Zmeu 25-12-2009 17:48 1304161

КАК МОЖНО РЕШИТЬ БЕЗ ЛОГОВ !!!!!
НЕТ ДРУГОГО СПОСОБА ???????
НУ ЕСТЕССТВЕННО КРОМЕ ПОЛНОГО ФОРМАТИРОВАНИЯ И УСТАНОВКИ ВИНДЫ С КАСПЕРОМ НА ПАРУ !!!!!!!!??????????

thyrex 25-12-2009 17:56 1304166

1. Закрыть 445 порт
2. Поискать во временных папках, во временных папках Интернет, в system32 exe-файлы с цифровым началом и удалить их вручную
3. Сделать логи

Zmeu 25-12-2009 18:08 1304173

а как их удалить, если система не позволяет ???

iskander-k 25-12-2009 18:11 1304174

Цитата:

Цитата Zmeu
а как их удалить, если система не позволяет ??? »

Попробуйте в безопасном режиме(меньше запретов).

Zmeu 25-12-2009 18:28 1304181

вот новые логи !!! Да кстате слетела звуковая панэль =)))

Zmeu 25-12-2009 18:29 1304182

Цитата:

Цитата thyrex
с цифровым началом »

ничего exe не нашел, но их там реально дофига стало !

Drongo 25-12-2009 19:01 1304206

  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\System Volume Information\_restore{E4F313CB-A6DF-449D-8193-780E6EA52385}\RP2\A0000187.com','');
 QuarantineFile('C:\System Volume Information\_restore{E4F313CB-A6DF-449D-8193-780E6EA52385}\RP2\A0000179.pif','');
 QuarantineFile('c:\windows\system32\dchn.sco','');
 QuarantineFile('C:\WINDOWS\system32\wuapi.dll.wusetup.101953.bak','');
 QuarantineFile('C:\WINDOWS\system32\wuapi.dll.mui.wusetup.103765.bak','');
 QuarantineFile('C:\WINDOWS\system32\cdm.dll.wusetup.101468.bak','');
 DeleteFile('C:\WINDOWS\system32\cdm.dll.wusetup.101468.bak');
 DeleteFile('C:\WINDOWS\system32\wuapi.dll.mui.wusetup.103765.bak');
 DeleteFile('C:\WINDOWS\system32\wuapi.dll.wusetup.101953.bak');
 DeleteFile('c:\windows\system32\dchn.sco');
 DeleteFile('C:\System Volume Information\_restore{E4F313CB-A6DF-449D-8193-780E6EA52385}\RP2\A0000179.pif');
 DeleteFile('C:\System Volume Information\_restore{E4F313CB-A6DF-449D-8193-780E6EA52385}\RP2\A0000187.com');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.

После всех процедур выполните скрипт
Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

thyrex 25-12-2009 19:55 1304241

+ к Drongo

Выполните скрипт в AVZ
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
 DelBHO('{1BB22D38-A411-4B13-A746-C2A4F4EC7344}');
 DelBHO('{FCBCCB87-9224-4B8D-B117-F56D924BEB18}');
 QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll','');
 QuarantineFile('C:\WINDOWS\system32\ccda_v8.exe','');
 DeleteFile('C:\WINDOWS\system32\ccda_v8.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
 DeleteFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll');
DeleteFileMask('C:\Program Files\IEToolbar404', '*.*', true);
DeleteDirectory('C:\Program Files\IEToolbar404');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Zmeu 27-12-2009 16:03 1305508

drongo
выполнил первый скрипт и каспер выдал что вредоносная программа пытается выполнить загрузку какого-то драйвера я нажал выполнить поместить в карантин и комп перезагрузился теперь пропал рабочий стол зашел через диспетчера.

Zmeu 27-12-2009 16:41 1305525

вредоносным по оказался explorer =))))
Что делать ????
Уже и винду перебивал без сети, через которую выхожу в ин-нет все норм работалоЮ заходил в ин-нет через телефон, было все норм , как только подключил сеть все ппц.
Что делать помогите !

iskander-k 27-12-2009 20:11 1305646

Цитата:

Цитата Zmeu
выполнил первый скрипт и каспер выдал что вредоносная программа »

скрипт надо выполнять при выключенных антивирусах.
Цитата:

Цитата Zmeu
пытается выполнить загрузку какого-то драйвера »

какого ? В логах это есть - отчет.

В АВЗ выберите Мастер поиска проблем - Вызов мастера осуществляется из меню "Файл\Мастер поиска и устранения проблем".
Для начала работы с мастером требуется выбрать категорию проблемы. Поддерживаются следующие категории:
• Системные проблемы. Это всевозможные ошибки в реестре или ключи, созданные/измененные вредоносными программами для нарушения или ограничения функциональности системы
• Настройки и твики браузера. Выполняет анализ настроек браузера, ищет опасные настройки (например, разрешение загружать AсtiveX без запроса) или предлагает модифицировать настройки для повышения защищенности браузера
• Чистка мусора. начиная с версии 4.32. Назначение - поиск и удаление всевозможного мусора - временных файлов, протоколов, дампов памяти, кешей. Визард поддерживает все современные браузеры - IE, FireFox, Google Chrome, Safari.



После выбора категории следует задать степень опасности проблемы. Анализатор поддерживает три степени опасности - он незначительных проблем до опасных. Степень опасности по сути является порогом срабатывания анализатора



После настройки степени опасности следует нажать кнопку "Пуск" и дождаться завершения процесса анализа (прогресс-индикатор в нижней части окна показывает ход процесса). Найденные проблемы или рекомендуемые операции отображаются в виде списка с возможностью отметки одной или нескольких позиций. Для выполнения процедуры исправления следует отметить один или несколько пунктов в списке и нажать кнопку "Исправить отмеченные проблемы".



Исправление некоторых настроек может негативно сказаться на функционировании системы. На этот случай в мастере поиска и исправления проблем предусмотрена функция записи данных для отката изменений. Для выполнения отката следует выбрать категорию проблемы, после чего перейти на закладку "Отмена изменений". На данной закладке отобразится список отмены - для отмены следует пометить один или несколько пунктов и затем нажать кнопку "Отменить отмеченные изменения".



На заметку:

Система отмены изменений действует только на реестр - удаление файлов (например кукизов или кешей браузера) является необратимой операцией

На заметку:

Базы данных системы отмены изменений хранятся в папке BackUp. Если данная папка недоступна для записи, то мастер поиска будет успешно работать, но данные для отмены изменений записываться не будут. Кроме того, следует учесть, что в случае применения мастера для удаления приватных данных следует также удалить базы системы отмены изменений.

iskander-k 27-12-2009 21:55 1305705

Цитата:

Цитата Zmeu
как только подключил сеть все ппц. »

Сетевой адаптер у вас встроенный или отдельная плата в PCI слот ?

Zmeu 27-12-2009 23:23 1305752

Цитата:

Цитата iskander-k
Сетевой адаптер у вас встроенный или отдельная плата в PCI слот ? »

встроенный

iskander-k 28-12-2009 00:45 1305797

Если у вас есть возможность возьмите сетевую карту(адаптер) на время - отключите встроенный адаптер и попробуйте.

Zmeu 28-12-2009 01:15 1305814

вот новые логи.

Zmeu 28-12-2009 01:16 1305816

Цитата:

Цитата iskander-k
Если у вас есть возможность возьмите сетевую карту(адаптер) на время - отключите встроенный адаптер и попробуйте. »

К сожалению нет такой возможности.
Вы считаете что что-то с адаптером ????

okshef 28-12-2009 01:24 1305820

Zmeu, во-первых, почему вы делаете проверку со старыми базами? Нужно обновить. Во-вторых, драйвер AVZPM не установлен. Исправьтесь и выполните новую проверку.

Zmeu 28-12-2009 09:11 1305928

Цитата:

Цитата okshef
драйвер AVZPM »

а где он ?

Zmeu 28-12-2009 09:31 1305940

драйвер установил, базу обновил вот логи !

okshef 28-12-2009 10:46 1305990

Проверьте http://www.virustotal.com/ru/ на файл c:\windows\system32\lcacc.exe
Результаты - в следующем сообщении.

thyrex 28-12-2009 11:38 1306029

okshef, http://www.virustotal.com/analisis/f...d2d-1261919762

Выполните скрипт в AVZ
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\lcacc.exe');
 QuarantineFile('c:\windows\system32\lcacc.exe','');
 DeleteFile('c:\windows\system32\lcacc.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows System Info Serivce');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Zmeu 28-12-2009 19:41 1306379

вот логи ,
ответов с newvirus@kaspersky.com нету.

iskander-k 28-12-2009 21:41 1306445

Цитата:

Цитата Zmeu
Вы считаете что что-то с адаптером ???? »

Если учесть
Цитата:

Цитата Zmeu
Уже и винду перебивал »

Цитата:

Цитата Zmeu
заходил в ин-нет через телефон, было все норм »

То возможно сетевая или конфликт драйверов.

Zmeu 29-12-2009 00:32 1306571

Это все отпадает, раньше все работало без конфликтов, а потом в один день просто хоп и все накрылось !


Время: 19:03.

Время: 19:03.
© OSzone.net 2001-