CAIIIKA Опубликовано 26 декабря, 2010 Опубликовано 26 декабря, 2010 (изменено) Уважаемые хелперы! Посмотрите всё ли в порядке. Сегодня прямо с утра поймал Баннер. Каким то образом он пропал (подозреваю что KIS 2011 всё таки его заблокировал ) после перезагрузки. Да вот ещё, хотел узнать из этого отчёта, как он проник на комп(где его искать) virusinfo_syscure.zip hijackthis.log Изменено 26 декабря, 2010 пользователем CAIIIKA
Roman_Five Опубликовано 26 декабря, 2010 Опубликовано 26 декабря, 2010 (изменено) вот ваша зверюга. http://www.virustotal.com/file-scan/report...49cf-1293352126 видимо, KIS поместил его на карантин в результате сработки эвристики/проактивки, т.к. базами его ещё не знал. можете отправить его из карантина на проверку в вирлаб. Пофиксите в HijackThis: F2 - REG:system.ini: Shell=C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('WLControl.dll',''); QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe',''); QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\*.exe',''); DeleteFile('WLControl.dll'); DeleteFile('C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs'); DeleteFileMask('C:\Users\8523~1\AppData\Local\Temp\','*.exe ',true ,' '); DelAutorunByFileName('WLControl.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте новые логи по правилам. Приложите текстовый отчёт из KIS (как на картинке) Изменено 26 декабря, 2010 пользователем Roman_Five
Мирный Атом Опубликовано 26 декабря, 2010 Опубликовано 26 декабря, 2010 (изменено) Roman_Five, а как же это? >> Модифицирован ключ запуска проводника Таблетка ExecuteRepair(16); нужна +Ask toolbar надо бы удалить.... Изменено 26 декабря, 2010 пользователем НФР 1
CAIIIKA Опубликовано 26 декабря, 2010 Автор Опубликовано 26 декабря, 2010 вот ваша зверюга.http://www.virustotal.com/file-scan/report...49cf-1293352126 видимо, KIS поместил его на карантин в результате сработки эвристики/проактивки, т.к. базами его ещё не знал. можете отправить его из карантина на проверку в вирлаб Да я это фалы уже отправил через Личный кабинет Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. 0.772726366314125.exe, 0.8465596194027115.exe Файлы в процессе обработки. С уважением, Лаборатория Касперского Подробный_отчёт.txt
Roman_Five Опубликовано 26 декабря, 2010 Опубликовано 26 декабря, 2010 Таблетка ExecuteRepair(16); нужна всё было включено CAIIIKA Сделайте новые логи по правилам.
CAIIIKA Опубликовано 26 декабря, 2010 Автор Опубликовано 26 декабря, 2010 (изменено) Ответ толь ко что пришёл. Здравствуйте, 0.772726366314125.exe_, 0.8465596194027115.exe_ - Trojan-Ransom.Win32.Gimemo.fw Детектирование файлов будет добавлено в следующее обновление. С уважением, Вирусный аналитик virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 26 декабря, 2010 пользователем CAIIIKA
Roman_Five Опубликовано 26 декабря, 2010 Опубликовано 26 декабря, 2010 в логах чисто. проверьте ещё такой утилитой. http://support.kaspersky.ru/faq/?qid=208639606 лог из корня диска С приложите.
CAIIIKA Опубликовано 26 декабря, 2010 Автор Опубликовано 26 декабря, 2010 в логах чисто. проверьте ещё такой утилитой. http://support.kaspersky.ru/faq/?qid=208639606 лог из корня диска С приложите. Готово. TDSSKiller.2.4.12.0_26.12.2010_16.13.53_log.txt
Roman_Five Опубликовано 26 декабря, 2010 Опубликовано 26 декабря, 2010 тоже чисто. проверьте на всякий случай на virustotal.com H:\Destrib\Программы для G15\Новые\CPUtoG15 Beta\WinRing0x64.sys 1
CAIIIKA Опубликовано 26 декабря, 2010 Автор Опубликовано 26 декабря, 2010 тоже чисто.проверьте на всякий случай на virustotal.com H:\Destrib\Программы для G15\Новые\CPUtoG15 Beta\WinRing0x64.sys Вот http://www.virustotal.com/file-scan/report...31b8-1285382326 P.S. Это программы для клавиатура Logitech G15. Roman_Five спасибо вам большое за помощь
Roman_Five Опубликовано 26 декабря, 2010 Опубликовано 26 декабря, 2010 можете воспользоваться http://support.kaspersky.ru/faq/?qid=208638548
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти