обнаружен червь ainslot.aa - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 20.07.2012

Размещено 20.07.2012 16:30:16

лог:

Прикрепленные файлы

DNS-ПК_2012-07-20_15-58-34.7z (222.78 КБ)

Сообщений: 5

Баллов: 2

Регистрация: 20.07.2012

Размещено 20.07.2012 16:38:43

долго не мог отправить сюда лог. каким-то чудом все-таки отправился! ) помогите, пожалуйста. сканировал Malwarebytes Anti-Malware. нашел два файла и удалил. после этого ни один анти-вирус не находит опасностей, но комп работает некорректно. что делать?

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 20.07.2012 16:42:28

Версия антивируса
Оригинальное имя nod32kui.exe
Версия файла 2, 70, 39

Делаем следующее для начала вот такой скрипт
В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl A155D53982057B80485A6888C42AF385 60928 delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\TEMP\I5P1U012.SYS delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\TEMP\_UNINST_92093792.BAT delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE regt 1 regt 2 regt 3 regt 7 regt 12 regt 18 deltmp delnfr restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl A155D53982057B80485A6888C42AF385 60928
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\TEMP\I5P1U012.SYS
delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\TEMP\_UNINST_92093792.BAT
delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
regt 1
regt 2
regt 3
regt 7
regt 12
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Далее удаляем ВСЕ продукты безопасности, зачищаем остатки этим
ftp://ftp.drweb.com/pub/drweb/tools/drw_remover.exe
http://support.kaspersky.com/downloads/utils/kavremover.exe

Далее устанавливаем последнюю актуальную версию антивируса 5.2, обновляем и делаем полный скан системы

Результат сюда.

Сообщений: 5

Баллов: 2

Регистрация: 20.07.2012

Размещено 20.07.2012 18:01:22

Журнал проверки
Версия базы данных сигнатур вирусов: 7315 (20120720)
Дaтa: 20.07.2012 Время: 20:33:49
Просканированные диски, папки и файлы: Оперативная память;Загрузочный сектор;C:\Загрузочный сектор;C:\;D:\Загрузочный сектор;D:\;E:\Загрузочный сектор;E:\
Загрузочный сектор диска C: - Ошибка открытия [4]
C:\hiberfil.sys - Ошибка открытия [4]
C:\pagefile.sys - Ошибка открытия [4]
C:\Boot\BCD - Ошибка открытия [4]
C:\Boot\BCD.LOG - Ошибка открытия [4]
C:\Program Files (x86)\InstallShield Installation Information\{9D48531D-2135-49FC-BC29-ACCDA5396A76}\setup.ilg - Ошибка открытия [4]
C:\Program Files (x86)\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Hiring Requisition - Customized.fdt = MIME - — OК (внутреннее сканирование не выполнено)
C:\Program Files (x86)\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Hiring Requisition.fdt = MIME - — OК (внутреннее сканирование не выполнено)
C:\Program Files (x86)\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\POLICIES.FDT = MIME - — OК (внутреннее сканирование не выполнено)
C:\Program Files (x86)\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Process Library.fdt = MIME - — OК (внутреннее сканирование не выполнено)
C:\Program Files (x86)\Microsoft Office\Office12\Groove\ToolData\groove.net\GrooveForms\FormsTemplates\Track Issues.fdt = MIME - — OК (внутреннее сканирование не выполнено)
C:\ProgramData\Microsoft\User Account Pictures\Administrator.dat - Ошибка открытия [4]
C:\Users\All Users\Microsoft\User Account Pictures\Administrator.dat - Ошибка открытия [4]
C:\Users\DNS\NTUSER.DAT - Ошибка открытия [4]
C:\Users\DNS\ntuser.dat.LOG1 - Ошибка открытия [4]
C:\Users\DNS\ntuser.dat.LOG2 - Ошибка открытия [4]
C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Current Session - Ошибка открытия [4]
C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Current Tabs - Ошибка открытия [4]
C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000039 = INNO = - архив поврежден
C:\Users\DNS\AppData\Local\Microsoft\Windows\UsrClass.dat - Ошибка открытия [4]
C:\Users\DNS\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 - Ошибка открытия [4]
C:\Users\DNS\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\temp-XUcKHnmgKkKyLttpGuczZ3mb - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\temp-yn1o8Gnbg2uaSYZcQYnELrUj - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\bistats.db - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\bistats.db-journal - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\bistats.lock - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\dc.db - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\dc.db-journal - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\griffin.db - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\griffin.lock - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\keyval.db - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\keyval.db-journal - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\keyval.lock - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\main.db - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\main.db-journal - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\safonov280\main.lock - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\shared_dynco\dc.db - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\shared_dynco\dc.db-journal - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\shared_dynco\dc.lock - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\shared_httpfe\queue.db - Ошибка открытия [4]
C:\Users\DNS\AppData\Roaming\Skype\shared_httpfe\queue.lock - Ошибка открытия [4]
C:\Users\DNS\Downloads\setup_11.0.0.1245.x01_2012_07_20_10_58.exe = RAR = 3968541rar.exe = RAR - ошибка - файл защищен паролем
C:\Users\DNS\Downloads\Витяй+Счастье+(ОД+Белый+Рэп)+-+Садо-Муза.rar.part = RAR = _____ _______ (__ _____ ___) - ____-____\06 ___ __ __ _______.mp3 - архив поврежден
C:\Users\Все пользователи\Microsoft\User Account Pictures\Administrator.dat - Ошибка открытия [4]
C:\Windows\Logs\CBS\CBS.log - Ошибка открытия [4]
C:\Windows\Logs\DPX\setupact.log - Ошибка открытия [4]
C:\Windows\Logs\DPX\setuperr.log - Ошибка открытия [4]
C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe.config - Ошибка открытия [4]
C:\Windows\Microsoft.NET\Framework64\v3.0\Windows Communication Foundation\SMSvcHost.exe.config - Ошибка открытия [4]
C:\Windows\Panther\UnattendGC\diagerr.xml - Ошибка открытия [4]
C:\Windows\Panther\UnattendGC\diagwrn.xml - Ошибка открытия [4]
C:\Windows\Panther\UnattendGC\setupact.log - Ошибка открытия [4]
C:\Windows\Panther\UnattendGC\setuperr.log - Ошибка открытия [4]
C:\Windows\PLA\System\System Diagnostics.xml - Ошибка открытия [4]
C:\Windows\PLA\System\System Performance.xml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\DeviceRedirection.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\EnhancedStorage.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\inetres.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\NCSI.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\RacWmiProv.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ReAgent.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\sdiageng.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\sdiagschd.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\Search.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\WindowsMediaDRM.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\WindowsMediaPlayer.admx - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\DeviceRedirection.adml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\EnhancedStorage.adml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\InetRes.adml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\NCSI.adml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\RacWmiProv.adml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\ReAgent.adml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\sdiageng.adml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\sdiagschd.adml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\Search.adml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\WindowsMediaDRM.adml - Ошибка открытия [4]
C:\Windows\PolicyDefinitions\ru-RU\WindowsMediaPlayer.adml - Ошибка открытия [4]
C:\Windows\security\database\secedit.sdb - Ошибка открытия [4]
C:\Windows\System32\log.txt - Ошибка открытия [4]
C:\Windows\System32\catroot2\edb.log - Ошибка открытия [4]
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb - Ошибка открытия [4]
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - Ошибка открытия [4]
C:\Windows\SysWOW64\log.txt - Ошибка открытия [4]
C:\Windows\Tasks\Adobe Flash Player Updater.job - Ошибка открытия [4]
C:\Windows\winsxs\amd64_microsoft-windows-n..n_service_datastore_31bf3856ad364e35_6.1.7600.16385_none_2d2382534fb0bdfa\dnary.xsd - Ошибка открытия [4]
Загрузочный сектор диска D: - Ошибка открытия [4]
D:\Mafia 2 (русский, РГ Механики).iso = ISO = AUTORUN.CDD = ZIP = _detect.dat - ошибка - файл защищен паролем
D:\Mafia 2 (русский, РГ Механики).iso = ISO = AUTORUN.CDD = ZIP = _proj.dat - ошибка - файл защищен паролем
D:\Mafia 2 (русский, РГ Механики).iso = ISO = AUTORUN.CDD = ZIP = _fonts.dat - ошибка - файл защищен паролем
D:\Heroes III In the wake of gods_v3.58f\games\1.GM1 = GZIP = 1.GM1 - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\games\12.GM1 = GZIP = 12.GM1 - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\games\2.GM1 = GZIP = 2.GM1 - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\games\3.GM1 = GZIP = 3.GM1 - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\games\aaa.GM1 = GZIP = aaa.GM1 - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\games\AUTOSAVE .GM1 = GZIP = AUTOSAVE .GM1 - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\games\AUTOSAVE .GM2 = GZIP = AUTOSAVE .GM2 - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\games\NEWGAME.GM1 = GZIP = NEWGAME.GM1 - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\games\NEWGAME2.GM1 = GZIP = NEWGAME2.GM1 - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\games\uu.GM1 = GZIP = uu.GM1 - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\AKUBA.H3M = GZIP = AKUBA.H3M - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\angelic_alliance.h3m = GZIP = angelic_alliance.h3m - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\b_-~-_01e.h3m = GZIP = b_-~-_01e.h3m - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\clan.h3m = GZIP = clan.h3m - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\Clash of the Dragons.h3m = GZIP = Clash of the Dragons.h3m - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\Crusade war 1.1.h3m = GZIP = Crusade war 1.1.h3m - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\Impassable_!!.h3m = GZIP = Impassable_!!.h3m - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\Lord_of_Ring_ERM.h3c = GZIP = Lord_of_Ring_ERM.h3c - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\SIBLING.H3M = GZIP = SIBLING.H3M - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\Step4.h3m = GZIP = Step4.h3m - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\War of the Ring.h3m = GZIP = War of the Ring.h3m - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\Wog - The Lord of war1 .h3m = GZIP = Wog - The Lord of war1 .h3m - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\wog_camp2a.h3m = GZIP = wog_camp2a.h3m - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\Эпоха разруштиеля(испр.).h3c = GZIP = _____ ___________(____.).h3c - неправильная контрольная сумма, файл может быть поврежден
D:\Heroes III In the wake of gods_v3.58f\Maps\Эпоха разруштиеля.h3c = GZIP = _____ ___________.h3c - неправильная контрольная сумма, файл может быть поврежден
D:\Mafia 2 (русский, РГ Механики)\AutoPlay\autorun.cdd = ZIP = _detect.dat - ошибка - файл защищен паролем
D:\Mafia 2 (русский, РГ Механики)\AutoPlay\autorun.cdd = ZIP = _proj.dat - ошибка - файл защищен паролем
D:\Mafia 2 (русский, РГ Механики)\AutoPlay\autorun.cdd = ZIP = _fonts.dat - ошибка - файл защищен паролем
Загрузочный сектор диска E: - Ошибка открытия [4]
E:\ - Ошибка открытия [4]
Количество просканированных объектов: 256738
Количество обнаруженных угроз: 0
Время выполнения: 20:59:55 Общее время проверки: 1566 сек. (00:26:06)

Примечания:
[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 20.07.2012 18:04:38

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 5

Баллов: 2

Регистрация: 20.07.2012

Размещено 20.07.2012 18:16:37

Malwarebytes Anti-Malware (Пробная версия) 1.62.0.1300
www.malwarebytes.org

Версия базы данных: v2012.07.20.06

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
DNS :: DNS-ПК [администратор]

Защитный модуль : Включен

20.07.2012 21:12:11
mbam-log-2012-07-20 (21-12-11).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 190136
Времени прошло: 2 минут , 56 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 0
(Вредоносных программ не обнаружено)

(конец)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 20.07.2012 18:17:52

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

На этом все.

[ Закрыто ] обнаружен червь ainslot.aa , ничего не помогает ((