Проверить логи на остаток тел от вирусов.

@WolfCF · Регистрация: 28.04.2009

Студворк — интернет-сервис помощи студентам

Проверьте пожалуйста логи на наличие вирусов и ошибок.

@FilipFray · 05.02.2010, 07:21

C:\IRBIS64\service_64.exe - известно?

@WolfCF · 05.02.2010, 07:24 **[ТС]**

да. Процесс от программы мне известной.

@FilipFray · 05.02.2010, 08:03

C:\WINDOWS\system32\DRIVERS\atapi.sys - проверьте на http://virustotal.com/ru/ Предоставьте ссылку на результат проверки

Пофиксить в HijackThis

Code
1
2
3
4
5
6
7
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKUS\S-1-5-21-1606980848-329068152-839522115-1004\..\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'User')
O4 - HKUS\S-1-5-21-1606980848-329068152-839522115-1004\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'User')
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)

На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы!
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('c:\windows\system32\ext.exe','');
 QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise323.exe','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 TerminateProcessByName('c:\windows\system32\userini.exe');
 DeleteFile('c:\windows\system32\userini.exe');
 DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise323.exe');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP465\A0220858.exe:userini.exe:$DATA');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP464\A0219823.exe:userini.exe:$DATA');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP464\A0218770.exe:userini.exe:$DATA');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP462\A0218079.exe:userini.exe:$DATA');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP462\A0218001.exe:userini.exe:$DATA');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP462\A0217922.exe:userini.exe:$DATA');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1606980848-329068152-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1606980848-329068152-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните после перезагрузки

Code
1
2
3
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив с именем quarantine.zip, отправьте его на FilipFrayWERbigmir.net, где WER = @ Укажите ссылку на свою тему.

Логи повторите.

@snifer67 · 05.02.2010, 08:38

Проверьтесь http://support.kaspersky.ru/vi... =208636926
Лог работы прикрепите к сообщению

@WolfCF · 05.02.2010, 15:18 **[ТС]**

C:\WINDOWS\system32\DRIVERS\atapi.sys данный адрес проверить не удалось.

@snifer67 · 05.02.2010, 15:32

- Выполните скрипт в avz

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\userini.exe');
 DeleteFile('c:\windows\system32\userini.exe');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP395\A0175560.exe');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP451\A0207447.EXE');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP465\A0220888.exe:ext.exe:$DATA');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP465\A0220915.exe:userini.exe:$DATA');
 DeleteFile('C:\System Volume Information\_restore{07807FEF-5EFE-4C0F-9FD2-4D7F671403A1}\RP465\A0220983.exe:userini.exe:$DATA');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

- Сделайте новые логи.

@FilipFray · 05.02.2010, 15:57

C:\WINDOWS\system32\userini.exe - Trojan.Spambot.7492

@WolfCF · 05.02.2010, 18:22 **[ТС]**

вот

@snifer67 · 05.02.2010, 18:31

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

@WolfCF · 06.02.2010, 05:09 **[ТС]**

Не удалось запустить программу. При начале экспресс-проверки вылетает ошибка что приложение будет закрыто. Далее следует синий экран.

@snifer67 · 06.02.2010, 09:23

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

@WolfCF · 06.02.2010, 10:49 **[ТС]**

а можно подробнее узнать про эту программу ComboFix?. Мне не нравится что она сайт майкрософт вылазит и виндоус проверяет.

@snifer67 · 06.02.2010, 11:51

У меня комбофикс никуда не лезет.

@WolfCF · 06.02.2010, 16:06 **[ТС]**

сделал.

@Maestro · 06.02.2010, 18:26

Wolf, Прогоните компьютер утилитой VirutKiller [ZIP, 105 КБ] с ключом запуска

Code
1
VirutKiller.exe -l report.txt

@WolfCF · 06.02.2010, 19:39 **[ТС]**

прогнал. А лог должен был быть?

результат:

@Maestro · 06.02.2010, 20:31

Сообщение от Wolf

А лог должен был быть?

Вы её запустили без ключа, поэтому лога не будет, во всяком случае уже знаем что не Virut. Попробуйте прогнать компьютеру утилитой SDFix. Очень хорошее средство.

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

@WolfCF · 07.02.2010, 10:37 **[ТС]**

лог

@WolfCF · 07.02.2010, 10:38 **[ТС]**

и еще после проверки выскочила ошибка, после чего это могло произойти?

Новые блоги и статьи Все статьи Все блоги /
Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определенном условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .
Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .

@FilipFray 2526 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	05.02.2010, 07:21
	C:\IRBIS64\service_64.exe - известно? 1

@WolfCF 3318 / 1380 / 110 Регистрация: 28.04.2009 Сообщений: 4,822
	05.02.2010, 07:24 [ТС]
	да. Процесс от программы мне известной. 0

@snifer67 1109 / 90 / 5 Регистрация: 14.10.2009 Сообщений: 395
	05.02.2010, 08:38
	Проверьтесь http://support.kaspersky.ru/vi... =208636926 Лог работы прикрепите к сообщению 1

@FilipFray 2526 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	05.02.2010, 15:57
	C:\WINDOWS\system32\userini.exe - Trojan.Spambot.7492 1

@snifer67 1109 / 90 / 5 Регистрация: 14.10.2009 Сообщений: 395
	05.02.2010, 18:31
	Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. 1

@WolfCF 3318 / 1380 / 110 Регистрация: 28.04.2009 Сообщений: 4,822
	06.02.2010, 05:09 [ТС]
	Не удалось запустить программу. При начале экспресс-проверки вылетает ошибка что приложение будет закрыто. Далее следует синий экран. 0

@snifer67 1109 / 90 / 5 Регистрация: 14.10.2009 Сообщений: 395
	06.02.2010, 09:23
	Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe 1

@WolfCF 3318 / 1380 / 110 Регистрация: 28.04.2009 Сообщений: 4,822
	06.02.2010, 10:49 [ТС]
	а можно подробнее узнать про эту программу ComboFix?. Мне не нравится что она сайт майкрософт вылазит и виндоус проверяет. 0

@snifer67 1109 / 90 / 5 Регистрация: 14.10.2009 Сообщений: 395
	06.02.2010, 11:51
	У меня комбофикс никуда не лезет. 1

@WolfCF 3318 / 1380 / 110 Регистрация: 28.04.2009 Сообщений: 4,822
	06.02.2010, 19:39 [ТС]
	прогнал. А лог должен был быть? результат: Миниатюры 0

@WolfCF 3318 / 1380 / 110 Регистрация: 28.04.2009 Сообщений: 4,822
	07.02.2010, 10:38 [ТС]
	и еще после проверки выскочила ошибка, после чего это могло произойти? Миниатюры 0

Проверить логи на остаток тел от вирусов.

Решение