HEUR:Trojan.Win32.Generic

[Ogyrets]

Касперский пожаловался на вирус и после этого постоянно пишет сообщения типа "загрузка вредоносного объекта запрещена".Полная проверка результатов не дает.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[MotherBoard]

выполните скрипт в AVZ

 

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('=.exe','');
QuarantineFile('c:\windows\system32\4988e912.exe','');
DeleteFile('=.exe');
DeleteFile('c:\windows\system32\4988e912.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(13);
RebootWindows(true);
end.

 

Комп перезагрузится

выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip отправьте по форме: http://support.kaspersky.ru/virlab/helpdesk.html

 

IP - адреса ваши?: 109.170.0.3,109.170.46.3 195.225.130.2,195.225.131.2

Которые не ваши - профиксьте в Хиджак:

Которые ваши - не трогайте, иначе собьёте настройки соединения.

 

О17 - HKLM\System\CCS\Services\Tcpip\..\{4AB4E9C1-B463-41FF-B8F4-5ABC736822A8}: NameServer = 109.170.0.3,109.170.46.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{4AB4E9C1-B463-41FF-B8F4-5ABC736822A8}: NameServer = 195.225.130.2,195.225.131.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{4AB4E9C1-B463-41FF-B8F4-5ABC736822A8}: NameServer = 109.170.0.3,109.170.46.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{4AB4E9C1-B463-41FF-B8F4-5ABC736822A8}: NameServer = 109.170.0.3,109.170.46.3
O17 - HKLM\System\CS4\Services\Tcpip\..\{4AB4E9C1-B463-41FF-B8F4-5ABC736822A8}: NameServer = 109.170.0.3,109.170.46.3

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете, если не знаете - не трогайте). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Повторите логи AVZ и HJT

Изменено 2 октября, 2010 пользователем MotherBoard

[Ogyrets]

Выполнил скрипт, quarantine.zip отправил по форме. IP адреса мои.Один старый - пофиксил, второй используется сейчас.

 

mbam_log_2010_10_04__18_02_57_.txt C:\WINDOWS\hosts (Trojan.Agent) -> Not selected for removal. не знаю можно ли удалять этот файл.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Roman_Five]

не знаю можно ли удалять этот файл.

можно. удалится новым скриптом.

Вам онлайн-покеры (Party Poker и Poker Stove) на компьютере нужны? Если нет, деинсталлируйте через "установка / удаление программ".

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\hosts','');
QuarantineFile('qphuqro.sys','');
DeleteFile('C:\WINDOWS\hosts');
DeleteFile('qphuqro.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Если размер карантина превышает 1,5 мегабайта, отправьте карантин по электронной почте на адрес "newvirus@kaspersky.com".

 

Сделайте новые логи.