Подозрение... [LOG+]

[D@gon]

Здравствуйте!

 

 

Вчера соседка лазила в интернете и решила посмотреть видео, ей предложили установить какой-то декодер через 6 часов пропал интернет и появилась надпись на пол экрана которую нелбзя ни как убрать. Вирус ли это или же .....

[AlexNEW]

Выполните эти правила http://forum.kasperskyclub.ru/index.php?showtopic=1698

[D@gon]

А без логов нельзя?

[Dzon]

А без логов нельзя?

 

Для того чтобы вылечить больного и назаначить лекарство нужно сначала поставить диагноз и без предварительного осмотра

системы это никак не получиться. Выполнить правила оформления запроса или нет - это ваше личное право. Сообщение #2

[thyrex]

В безопасном режиме данное окно есть? Если нет, сделать логи из безопасного режима

[DaTa]

Наверное очередная модификация Win32/GetCodec.Gen

[ТроПа]

DaTa, простите, но как ваше высказываниевание помогает решению проблемы?

[D@gon]

Вот логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('e:\docume~1\iri$$ka\locals~1\temp\don2eb.tmp','');
TerminateProcessByName('e:\docume~1\iri$$ka\locals~1\temp\don2eb.tmp');
DeleteFile('e:\docume~1\iri$$ka\locals~1\temp\don2eb.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

2.Пофиксить в HijackThis следующие строчки

	F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\DOCUME~1\Iri$$ka\LOCALS~1\Temp\don2 EB.tmp
O2 - BHO: (no name) - Software - (no file)

 

Повторите логи.

[D@gon]

В архиве карантин нет файлов

 

F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\DOCUME~1\Iri$$ka\LOCALS~1\Temp\don2 EB.tmp

Этой строки нет

 

После того как сделал логи(ещё не отправляя Вм) эта назойливая реклама пропала!

Изменено 30 сентября, 2009 пользователем D@gon

[thyrex]

Теперь сделайте новые логи в нормальном режиме

[4543]

thyrex,ТроПа, как вы опредили, что вирус именно это?

 

И что вайл TMP, делает в процессах?

[DaTa]

thyrex,ТроПа, как вы опредили, что вирус именно это?

 

И что вайл TMP, делает в процессах?

Ну а что может делать "легитимная" программа которая запускается из локально-временной папки пользователя? ПРи этом имея не стандартное для програм разширение...

[4543]

DaTa, а это второй вопрос. откуда такое рзширение, и как оно попало в процессы?

[миднайт]

DaTa, 4543

Уважаемые! Прекратите флуд в теме. Для обсуждения этих вопросов есть личка.