[zirreX]

Добрый день!

Нужны логи AVZ & RSIT.Подготовьте логи в соответствии с правилами

[аян]

Вот логи.

[iskander-k]

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[zirreX]

• Пофиксить в hijackthis
Поставить галочку напротив указанной строки и нажать Fix Checked

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Вы добавили сайт в надежные узлы?

Код:

cabinet.salyk.kz

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\program files\gammatech\tumarcsp\bin\tumsrv204.exe','');
QuarantineFile('C:\WINDOWS\system32\tumint430.dll','');
QuarantineFile('C:\WINDOWS\system32\spool\d','');
QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы

Обновите Internet Explorer до восьмой версии
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!).

Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол!

[аян]

Спасибо за ответы.
Попробую сделать, отпишусь, может занять у меня много времени.
Так у меня вирусы или как?
cabinet.salyk.kz - это кабинет налогоплательщика, добавлен в надежные узлы для того чтоб отправлять отчеты в электронном виде.
tumar - это программа для участия в тендерах Казахстана.

у меня сервис пак 2 оказывается стоит =( чтоб скачать СП 3 у меня не хватает лимита.
После установки СП обновиться explorer и т.п.?

[аян]

Сделал фикс R3
Отправил quarantine.zip

Второй день подключение к интернету сбрасывается, dsl status показывает что сигнал есть но вызов не совершается.
Подключается тока после переподключения USB модема.
Это вирус?

лог MBAM отправлю как закончится

[zirreX]

Цитата аян:

После установки СП обновиться explorer и т.п.? »

нет, Internet Explorer нужно будет установить отдельно.

[аян]

вот отчет Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Версия базы данных: 5304

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

13.12.2010 16:32:25
mbam-log-2010-12-13 (16-32-21).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|F:\|)
Просканированные объекты: 225441
Времени прошло: 3 часов, 5 минут, 30 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 1
Заражённые параметры в реестре: 0
Объекты реестра заражены: 4
Заражённые папки: 0
Заражённые файлы: 14

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{8E8E8F8A-8FCC-88CE-BCB8-B8FD8E88888A} (Malware.Packer.Gen) -> No action taken.

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\documents and settings\Admin\мои документы\Загрузки\gsetup.exe (Trojan.Dropper) -> No action taken.
c:\program files\Ashampoo\ashampoo winoptimizer 7\Patch.exe (RiskWare.Tool.CK) -> No action taken.
c:\program files\universal document converter\udc4.2- patch.exe (Backdoor.IRCBot) -> No action taken.
c:\WINDOWS\system32\CDClose.dll (Malware.Packer.Gen) -> No action taken.
e:\DISTR\soft\ashampoo.winoptimizer_7.22\Lz0\Patch.exe (RiskWare.Tool.CK) -> No action taken.
e:\DISTR\soft\corelpaintshoppro\keygen.exe (Trojan.Dropper.PGen) -> No action taken.
e:\DISTR\soft\excel-xp\corelpaintshoppro\keygen.exe (Trojan.Dropper.PGen) -> No action taken.
e:\DISTR\tuneup 2006\tuneup utilities 2006 (version 5.x) - crack.exe (Malware.Packer.Gen) -> No action taken.
e:\system volume information\_restore{714d0652-d6ee-4ec7-bd78-079400f68e33}\RP63\A0038541.exe (Worm.AutoRun) -> No action taken.
e:\system volume information\_restore{cdcf5e40-2c49-4958-9244-43c07d65c3d0}\RP42\A0071627.exe (Malware.Packer.Gen) -> No action taken.
e:\system volume information\_restore{cdcf5e40-2c49-4958-9244-43c07d65c3d0}\RP42\A0071733.exe (Malware.Packer.Gen) -> No action taken.
e:\system volume information\_restore{cdcf5e40-2c49-4958-9244-43c07d65c3d0}\RP42\A0073017.exe (Malware.Packer.Gen) -> No action taken.
e:\system volume information\_restore{cdcf5e40-2c49-4958-9244-43c07d65c3d0}\RP42\A0073296.exe (Malware.Packer.Gen) -> No action taken.
e:\system volume information\_restore{cdcf5e40-2c49-4958-9244-43c07d65c3d0}\RP42\A0074298.exe (Malware.Packer.Gen) -> No action taken.

zirreX, я говоря експлорер имел в виду explorer.exe, наверное мне надо обновить системные файлы как то?

инет вырубается сам по себе ))

[zirreX]

Отключите Восстановление системы

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\spool\d');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\UDC', 'EventMessageFile');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!


Удалите в MBAM

Код:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{8E8E8F8A-8FCC-88CE-BCB8-B8FD8E88888A} (Malware.Packer.Gen) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\мои документы\Загрузки\gsetup.exe (Trojan.Dropper) -> No action taken.
e:\system volume information\_restore{714d0652-d6ee-4ec7-bd78-079400f68e33}\RP63\A0038541.exe (Worm.AutoRun) -> No action taken.
e:\system volume information\_restore{cdcf5e40-2c49-4958-9244-43c07d65c3d0}\RP42\A0071627.exe (Malware.Packer.Gen) -> No action taken.
e:\system volume information\_restore{cdcf5e40-2c49-4958-9244-43c07d65c3d0}\RP42\A0071733.exe (Malware.Packer.Gen) -> No action taken.
e:\system volume information\_restore{cdcf5e40-2c49-4958-9244-43c07d65c3d0}\RP42\A0073017.exe (Malware.Packer.Gen) -> No action taken.
e:\system volume information\_restore{cdcf5e40-2c49-4958-9244-43c07d65c3d0}\RP42\A0073296.exe (Malware.Packer.Gen) -> No action taken.
e:\system volume information\_restore{cdcf5e40-2c49-4958-9244-43c07d65c3d0}\RP42\A0074298.exe (Malware.Packer.Gen) -> No action taken.

Сделайте новые логи AVZ и hijackthis.