kilo Опубликовано 9 августа, 2009 Автор Опубликовано 9 августа, 2009 Упоминание о ней в Пуск - Программы удалили? Да удалил Если еще нет, тогда с помощью файлового менеджера (Total Commander, например) посмотреть по пути C:\Documents and Settings\test\Главное меню\Программы на что ссылается lnk-файлИли то же самое посмотреть в папке C:\Documents and Settings\All Users\Главное меню\Программы Эти файлы тоже уже давно удалил
kilo Опубликовано 11 августа, 2009 Автор Опубликовано 11 августа, 2009 Уже весь реестр проверил нет там больше упоминаний о этом Windows System Suite, а в центре безопасности Windows он хоть что делай высвечивается и Касперского уже два раза переустанавливал все равно он там. Вот что я подумал, мог ли вирус заразить сам исполняемый файл Центра безопасности?
thyrex Опубликовано 11 августа, 2009 Опубликовано 11 августа, 2009 Вот это выполните http://forum.kaspersky.com/index.php?showtopic=103868 Информацию о результате закачки сообщите
kilo Опубликовано 11 августа, 2009 Автор Опубликовано 11 августа, 2009 (изменено) В архив нечего почти не попала не считая, вот этого C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll Остальное все прошло как Ошибка карантина файла, попытка прямого чтения (System) Выполняется автокарантинФайл успешно помещен в карантин (C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll) Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_atapi.sys) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (deskpan.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (System) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (System) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (System) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (System) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (System) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (mscoree.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (mscoree.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (mscoree.dll) Карантин с использованием прямого чтения - ошибка Автокарантин завершен Это нормально, так и должно быть? Вот результат анализа Архив 090811_141159_virusinfo_files_VIRTUAL-5507F4D_4a8143ef49206.zip, загружен 11.08.2009 14:20:37, размер 31326 байтВсего файлов: 1 (исполняемых 1), из них: зловреды или опасные объекты: 0 подозрительные: 0 занесены в базу безопасных AVZ: 0 В очереди на добавление в базу безопасных: высокий приоритет: 1 обычный приоритет: 0 avz_log.txt Изменено 11 августа, 2009 пользователем kilo
kilo Опубликовано 15 августа, 2009 Автор Опубликовано 15 августа, 2009 У меня теперь и окно этого Windows System Suite появилась и кричит, что нашел вирусы и требует деньги за то что бы якобы его удалить.
thyrex Опубликовано 15 августа, 2009 Опубликовано 15 августа, 2009 Сделайте еще раз логи и выкладывайте (их должно быть три)
kilo Опубликовано 15 августа, 2009 Автор Опубликовано 15 августа, 2009 (изменено) Сделайте еще раз логи и выкладывайте (их должно быть три) А тепер он в логах будет виден или нет? Все зделал. После обновления KIS этот Windows System Suite перестал запускатся, только выкидывает ошибку и закрывается, смотрите скрин. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 15 августа, 2009 пользователем kilo
thyrex Опубликовано 15 августа, 2009 Опубликовано 15 августа, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Application Data\85d5af9\WS85d5.exe',''); DeleteFile('C:\Documents and Settings\All Users\Application Data\85d5af9\WS85d5.exe'); DeleteFileMask('C:\Documents and Settings\All Users\Application Data\85d5af9', '*.*', true); DeleteDirectory('C:\Documents and Settings\All Users\Application Data\85d5af9'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(13); ExecuteRepair(19); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи
kilo Опубликовано 16 августа, 2009 Автор Опубликовано 16 августа, 2009 Скрипт выполнил, карантин послал на newvirus@kaspersky.com Загрузил новые логи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
thyrex Опубликовано 16 августа, 2009 Опубликовано 16 августа, 2009 Пофиксить в HiJack O1 - Hosts: 74.125.45.100 4-open-davinci.com O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com O1 - Hosts: 74.125.45.100 privatesecuredpayments.com O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com O1 - Hosts: 74.125.45.100 getantivirusplusnow.com O1 - Hosts: 74.125.45.100 secure-plus-payments.com O1 - Hosts: 74.125.45.100 www.getantivirusplusnow.com O1 - Hosts: 74.125.45.100 www.secure-plus-payments.com O1 - Hosts: 74.125.45.100 www.getavplusnow.com O1 - Hosts: 74.125.45.100 www.securesoftwarebill.com O1 - Hosts: 74.125.45.100 secure.paysecuresystem.com
kilo Опубликовано 17 августа, 2009 Автор Опубликовано 17 августа, 2009 Профиксил, но эти строчки появляются снова hijackthis.log
thyrex Опубликовано 17 августа, 2009 Опубликовано 17 августа, 2009 Очередная инструкция по поиску файлов http://www.bleepingcomputer.com/virus-remo...ws-system-suite
kilo Опубликовано 17 августа, 2009 Автор Опубликовано 17 августа, 2009 Выполнил рекомендацию. host как изменял так продолжает изменятся после фикса HiJack hijackthis.log mbam_log_2009_08_17__18_37_36_.txt
thyrex Опубликовано 17 августа, 2009 Опубликовано 17 августа, 2009 (изменено) MBAM основательно почистил. В начале статьи был перечень файлов для поиска. Искали? Изменено 17 августа, 2009 пользователем thyrex
kilo Опубликовано 17 августа, 2009 Автор Опубликовано 17 августа, 2009 (изменено) Да искал парочку нашел и удалил, только не понял что за директория %UserProfile%\Desktop\ это рабочий стол? Если да то на нем таких файлов нет. А host и после этого продолжает изменяется MBAM вот что выдало Изменено 17 августа, 2009 пользователем kilo
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти