new virus и карантин

[Vitka]

Здравствуйте, не откажите в помощи. KIS2010 обнаружил новые вирусы и добавил их в карантин.Вопрос как мне их удалить с карантина и соответственно с компьютера и как отправить их образцы в лабораторию Касперского.( так как они с легкостью обходят встроенный сетевой экран, блокируют запуск антивируса, сами запускают доступ к интернету).

3 лога обязательные прилагаются..а 4 лог это отчет из самого касперского с названиями вирусов и IP адресом с которого они беспрепятственно загружаются.

 

 

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

log.txt

 

 

Буду рад помощи,спасибо

[snifer67]

Установите SP3(может потребоваться активация)+все последующие обновления

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\HELP\5EB4C.com','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4686199488-4648087730-988060884-6406\syscr.exe','');
QuarantineFile('C:\Documents and Settings\Home user\Application Data\ltzqai.exe','');
DeleteService('ozeitlix');
DeleteFile('C:\WINDOWS\system32\05.tmp');
DeleteFile('C:\Documents and Settings\Home user\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4686199488-4648087730-988060884-6406\syscr.exe');
DeleteFile('C:\WINDOWS\HELP\5EB4C.com');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','TempCom');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\WINDOWS\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(RegKeyStrParamRead('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Desktop')+'\avz_quarantine.zip');
end.

Карантин сохранится на рабочем столе.

Карантин отправьте на newvirus@kaspersky.com

Сделайте новый лог.

[Vitka]

сделал все как написали...

 

вот новые логи. но так и не понял как поступить с файлами 34.exe , 75.exe , 74.exe и т.д. Они так и будут грузится с IP и нарушать работу системы? а то я уже замучился их искать и вручную удалять,так как порой касперский их не видит

 

ответ с newvirus:

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

svchost.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.20

 

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

 

С уважением, Лаборатория Касперского

 

 

при обновлении баз и полной проверки-реакции касперского никакой

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

 

спасибо

Изменено 6 декабря, 2010 пользователем Vitka

[Roman_Five]

но так и не понял как поступить с файлами 34.exe , 75.exe , 74.exe и т.д. Они так и будут грузится с IP и нарушать работу системы? а то я уже замучился их искать и вручную удалять,так как порой касперский их не видит

 

не будут.

в логах чисто.

 

откройте файл ScanVuln.txt;

выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

перезагрузите компьютер;

повторно выполните скрипт и убедитесь, что уязвимости устранены.

[Vitka]

НЕ помогли описанные выше действия..все равно происходит загрузка объектов в обход антивируса...нарушается работа системы..как запретить доступ IP к моему компьютеру?чтоб с него не грузились вредоносное ПО

 

НЕ помогли описанные выше действия..все равно происходит загрузка объектов в обход антивируса...нарушается работа системы..как запретить доступ IP к моему компьютеру?чтоб с него не грузились вредоносное ПО

плюс к этому после установки сервис пак 3

появилась вот такая проблема

переименование, перемещение или удаление <Новая папка> может повлиять на работу некоторых программ. Вы действительно хотите сделать это?

 

как с этим справиться

[Roman_Five]

все равно происходит загрузка объектов в обход антивируса

покажите отчёт антивируса (аналогичный тому, что выше).

 

появилась вот такая проблема

откуда вы пытаетесь удалить эту папку?

[Vitka]

с папками проблема решилась

а вот объектами загружаемыми с IP такая история: касперский как бы блокирует их для загрузки(всплывает информационное окно) но они оказываются скрытыми в системных и скрытых папках через некоторое время,сканер антивиря их не видит при обычной проверке а только при конкретном указании на файл.

в общем в данное время занимаюсь их поиском...в принципе вреда как такового я не вижу в них(не трафоеды и не логеры), удаляются легко.

Единственная проблема это то что они грузятся с 3-х айпи с частотой около 30минут...

вот я и спрашиваю возможно ли добавить эти адреса в какой нибудь черный список ?

поймаю такое чудо обязательно выложу...все спасибо за помощь)

[Roman_Five]

Vitka

покажите отчёт антивируса (аналогичный тому, что выше).

 

 

+

проверьте на virustotal.com файл C:\WINDOWS\TASKMAN.EXE

ссылку на отчёт приложите