[решено] Вирусы, злые

Arbitr · Отправлено: **23:07, 08-09-2010** | #2

попробуйте сначала AVPtool
если не получится сделать логи то
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

DarkingCat · Отправлено: **23:17, 08-09-2010** | #3

Еще, оказывается, заблочены сайты антивирусов ^^

Arbitr · Отправлено: **23:29, 08-09-2010** | #4

разблочим,
у вас что то из логов получается сделать??

DarkingCat · Отправлено: **23:32, 08-09-2010** | #5

Комбофиксом вообще...как бы пишет нод32 в запуске запуске, машина начинает пикать как часовая бомба и перезагружается, потом на рабочем столе была синяя командная строка, я ее закрыл)))

Arbitr · Отправлено: **23:36, 08-09-2010** | #6

Цитата DarkingCat:

пишет нод32 в запуске запуске, »

Цитата Arbitr:

Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. »

если не получается то просто согласитесь с комбо чтоб он отключил.

Цитата DarkingCat:

машина начинает пикать как часовая бомба и перезагружается, потом на рабочем столе была синяя командная строка, я ее закрыл))) »

это и есть работа комбо, он перегружает комп и отслеживает все что запускается, после его работы создается отчет в виде текстового файла на рабочем столе, его и хотим увидеть, до появления этого файла (пока комбо не закончило работу) ничего!!! не делать!!!

DarkingCat · Отправлено: **23:37, 08-09-2010** | #7

Щас еже раз попробую)

Arbitr · Отправлено: **23:51, 08-09-2010** | #8

постарайтесь обязательно отключить ваш нод!!!

DarkingCat · Отправлено: **00:04, 09-09-2010** | #9

Вот лог

))

Arbitr · Отправлено: **01:27, 09-09-2010** | #10

проверить на virustotal.com следующий батник если он вам не знаком
C:\WINDOWS\DelMR.bat
ссылку приложить
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::
File::
C:\Documents and Settings\user\~tmp.bat
C:\WINDOWS\system32\kxgllm.exe
C:\WINDOWS\system32\mbqovsaw.dll
C:\WINDOWS\system32\f4cf45d9.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\tmp.tmp
C:\WINDOWS\system32\b9u3Lvn.exe
C:\WINDOWS\system32\4XeNWHC.exe
FCopy::
c:\windows\ServicePackFiles\i386\sfcfiles.dll|c:\windows\System32\sfcfiles.dll
Driver::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\System32\userinit.exe,"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12288:TCP"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Folder::
C:\Program Files\Common Files\pkr

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
сделать логи AVZ +RSIT
Итак я жду логи: комбо AVZ RSIT MBAM
если что то не получается подробно описываете ситуацию
актуальная версия AVZ 4.35 обновить базы обязательно выключить все программы и антивирусное ПО при выполнении логов