Вирусы

[CoRpSe13]

почитал мануал перед созданием темы, постарался все выполнить, имею на данный момент последний AVZ и полученные в нем два файла, HijackThis который не запускается run time error 50003 и скачаный переименованный архив 1 с той же ошибкой и GetSystemInfo все с той же ошибкой, поэтому пока что выложу 2 файла AVZ.

 

 

PS. постоянно идет обращение к флоппи дисководу

Изменено 16 февраля, 2010 пользователем CoRpSe13

[lifestory]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\t306046.dll','');
QuarantineFile('C:\WINDOWS\system32\t311023.dll','');
QuarantineFile('C:\WINDOWS\system32\t320067.dll','');
QuarantineFile('C:\WINDOWS\system32\t322044.dll','');
QuarantineFile('C:\WINDOWS\system32\t329143.dll','');
QuarantineFile('c:\windows\system32\appmgmts.dll','');
QuarantineFile('c:\windows\temp\1566.exe','');
DeleteFile('C:\WINDOWS\system32\t306046.dll');
DeleteFile('C:\WINDOWS\system32\t311023.dll');
DeleteFile('C:\WINDOWS\system32\t320067.dll');
DeleteFile('C:\WINDOWS\system32\t322044.dll');
DeleteFile('C:\WINDOWS\system32\t329143.dll');
DeleteFile('C:\WINDOWS\system32\1566.exe');
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

После чего попробуйте сделать логи заного.

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys','');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36341DC2-9E82-4F3A-BD91-92A15251AA0F}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

- Сделайте новые логи.

[CoRpSe13]

http://forum.kasperskyclub.ru/index.php?showtopic=1698

я конечно ничего не понимаю но вот тут написано, вот что

 

ВАЖНО! В процессе консультирования и выполнения действий по "лечению" "зараженного" ПК, Вас могут попросить переслать архив с подозрительным (вредоносным) программным обеспечением найденным в вашей системе на newvirus@kaspersky.com. В исключительных случаях Вам могут предложить другой адрес для пересылки подобного архива только(!) следующие консультанты:

ТроПа

Гриша

thyrex

 

 

поэтому жду дальнейших указаний, или делать как livestory пишет?

Изменено 15 февраля, 2010 пользователем CoRpSe13

[snifer67]

Там написано кому можно присылать карантины.Можете выполнять два скрипта

[CoRpSe13]

я запутался, какой вариант выбрать то?

[snifer67]

Выполняйте #2 и #3 сообщения.

Изменено 15 февраля, 2010 пользователем snifer67

[CoRpSe13]

итак я сделал вот что

1.выполнил скрипт из #2 и перезагрузил, получились файлы в папке C:\Documents and Settings\Admin\Рабочий стол\avz4\Quarantine

 

2. выполнил скрипт 2 из #3 и получил папку C:\Documents and Settings\Admin\Рабочий стол\Quarantine в которой создался запароленный архив quarantine.zip

 

3. отослал этот архив на newvirus@kaspersky.com c темой quarantine и пометкой в исьме что пароль на архив- virus

 

что теперь делать?

[Black Angel]

CoRpSe13

Сделайте новые логи.

[lifestory]

итак я сделал вот что

1.выполнил скрипт из #2 и перезагрузил, получились файлы в папке C:\Documents and Settings\Admin\Рабочий стол\avz4\Quarantine

 

2. выполнил скрипт 2 из #3 и получил папку C:\Documents and Settings\Admin\Рабочий стол\Quarantine в которой создался запароленный архив quarantine.zip

 

3. отослал этот архив на newvirus@kaspersky.com c темой quarantine и пометкой в исьме что пароль на архив- virus

 

что теперь делать?

Пока можете сделать повторно логи.

После того как вам пришлют ответ по вашему карантину. Отпостите его здесь.

[CoRpSe13]

а я только смысл тогда от того что я отослал карантин не вижу

[Mark D. Pearlstone]

а я только смысл тогда от того что я отослал карантин не вижу

Если у вас в файле найдут вирус, которого нет в базах Касперского, то детект на него добавят.

Изменено 15 февраля, 2010 пользователем Mark D. Pearlstone

[CoRpSe13]

файлы

Изменено 16 февраля, 2010 пользователем CoRpSe13

[lifestory]

Вы выполняли Скрипты из сообщений 2 и 3?

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\t306046.dll','');
QuarantineFile('C:\WINDOWS\system32\t311023.dll','');
QuarantineFile('C:\WINDOWS\system32\t320067.dll','');
QuarantineFile('C:\WINDOWS\system32\t322044.dll','');
QuarantineFile('C:\WINDOWS\system32\t329143.dll','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys','');
DeleteFile('C:\WINDOWS\system32\t306046.dll');
DeleteFile('C:\WINDOWS\system32\t311023.dll');
DeleteFile('C:\WINDOWS\system32\t320067.dll');
DeleteFile('C:\WINDOWS\system32\t322044.dll');
DeleteFile('C:\WINDOWS\system32\t329143.dll');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36341DC2-9E82-4F3A-BD91-92A15251AA0F}');
ExecuteSysClean;
ExecuteRepair(9);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После выполните скрипт и сделайте логи заного

 

begin
DeleteFileMask(GetAVZDirectory + 'LOG', '*.*', true);
RebootWindows(false);
end.

Изменено 15 февраля, 2010 пользователем liveStory

[CoRpSe13]

1 выполнил

 

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);

QuarantineFile('C:\WINDOWS\system32\t306046.dll','');

QuarantineFile('C:\WINDOWS\system32\t311023.dll','');

QuarantineFile('C:\WINDOWS\system32\t320067.dll','');

QuarantineFile('C:\WINDOWS\system32\t322044.dll','');

QuarantineFile('C:\WINDOWS\system32\t329143.dll','');

QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys','');

DeleteFile('C:\WINDOWS\system32\t306046.dll');

DeleteFile('C:\WINDOWS\system32\t311023.dll');

DeleteFile('C:\WINDOWS\system32\t320067.dll');

DeleteFile('C:\WINDOWS\system32\t322044.dll');

DeleteFile('C:\WINDOWS\system32\t329143.dll');

DeleteFile('C:\Documents and Settings\NetworkService\Application Data\Dbg32.Sys');

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36341DC2-9E82-4F3A-BD91-92A15251AA0F}');

ExecuteSysClean;

ExecuteRepair(9);

RebootWindows(true);

end.

 

после перезагрузки касперский открылся и процесс C:\WINDOWS\system32\regsvr32.exe вылез желтым сообщением, что дальше делать, выполнять 2 скрипт или еще что то?

Изменено 15 февраля, 2010 пользователем CoRpSe13