shc Опубликовано 6 мая, 2010 Share Опубликовано 6 мая, 2010 (изменено) При каждой загрузке появляются два новых польз. SYS и TEMP с полными правами...на всех дисках висят файлы autorun.exe и autorun.inf...ни один антивир не видит угрозы...KIS переносит в слабые ограничения. проверка из под Убунты битдефендером Object '/media/disk/WINDOWS/system32/ndprd.exe' is infected with 'Gen:Trojan.Heur.@nJfrbq@BMcib' Object '/media/disk/WINDOWS/system32/odbcgt32.dat' is infected with 'Gen:Trojan.Heur.@nJfrbq@BMcib' Object '/media/disk-1/Autorun.exe' is infected with 'Gen:Trojan.Heur.@nJfrbq@BMcib' virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 7 мая, 2010 пользователем shc Ссылка на комментарий Поделиться на другие сайты More sharing options...
vasdas Опубликовано 6 мая, 2010 Share Опубликовано 6 мая, 2010 Выполните правила раздела, сделайте логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 7 мая, 2010 Share Опубликовано 7 мая, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('D:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
shc Опубликовано 7 мая, 2010 Автор Share Опубликовано 7 мая, 2010 Файл карантина больше 9мб...а касперский принимает не более 6 Ссылка на комментарий Поделиться на другие сайты More sharing options...
icotonev Опубликовано 7 мая, 2010 Share Опубликовано 7 мая, 2010 Попробуйте здесь:newvirus@kaspersky.com Ссылка на комментарий Поделиться на другие сайты More sharing options...
shc Опубликовано 8 мая, 2010 Автор Share Опубликовано 8 мая, 2010 (изменено) При каждой загрузке появляются два новых польз. SYS и TEMP с полными правами...на всех дисках висят файлы autorun.exe и autorun.inf...ни один антивир не видит угрозы...KIS переносит в слабые ограничения. проверка из под Убунты битдефендером Object '/media/disk/WINDOWS/system32/ndprd.exe' is infected with 'Gen:Trojan.Heur.@nJfrbq@BMcib' Object '/media/disk/WINDOWS/system32/odbcgt32.dat' is infected with 'Gen:Trojan.Heur.@nJfrbq@BMcib' Object '/media/disk-1/Autorun.exe' is infected with 'Gen:Trojan.Heur.@nJfrbq@BMcib' Из последнего...появилась служба FIS которая не удаляется(скрипты AVZ) в процессах файлы safesurf.exe surfguard.exe(производитель Jetswap) проблема в том что их ПО я не ставил...удаляю все что связано...после рестарта появляется опять в реестре [HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap] "autocr"="1" "v2"="1" "splash"="1" "v3"="1" "v4"="0" "v5"="1" "vhd"="1" "msurf"="0" "surfhide"="0" "asurf"="1" "minw"="0" "login"="jackmen" "passh"="7458bab36c82e74839639c48b9e64a05" из последних новостей- удалось выяснить(с помощью Outpost) что ета зараза при старте системы обращаеться к svchost, csrss, explorer...при блокировке пропадает инет...autorun.exe для всех антивирусов не является угрозой...хотя уже через флешку заражен еще один комп Изменено 8 мая, 2010 пользователем shc Ссылка на комментарий Поделиться на другие сайты More sharing options...
_Strannik_ Опубликовано 8 мая, 2010 Share Опубликовано 8 мая, 2010 shc сделайте новый логи... Ссылка на комментарий Поделиться на другие сайты More sharing options...
shc Опубликовано 8 мая, 2010 Автор Share Опубликовано 8 мая, 2010 shc сделайте новый логи... virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 9 мая, 2010 Share Опубликовано 9 мая, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('FCI'); DeleteFile('FCI.sys'); DeleteFile('D:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме. Ссылка на комментарий Поделиться на другие сайты More sharing options...
shc Опубликовано 11 мая, 2010 Автор Share Опубликовано 11 мая, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('FCI'); DeleteFile('FCI.sys'); DeleteFile('D:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме. Проблема решена. Спасибо. Помогла Антивирусная служба 911 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения