Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Профилактика после "Баннера на рабочем столе"

CAIIIKA

Автор CAIIIKA
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

CAIIIKA Ветеран

CAIIIKA

Опубликовано
Опубликовано (изменено)

Уважаемые хелперы! Посмотрите всё ли в порядке. Сегодня прямо с утра поймал Баннер. Каким то образом он пропал (подозреваю что KIS 2011 всё таки его заблокировал <_<) после перезагрузки.

 

Да вот ещё, хотел узнать из этого отчёта, как он проник на комп(где его искать)

95a0915ccc30t.jpg

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем CAIIIKA
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

вот ваша зверюга.

http://www.virustotal.com/file-scan/report...49cf-1293352126

видимо, KIS поместил его на карантин в результате сработки эвристики/проактивки, т.к. базами его ещё не знал.

можете отправить его из карантина на проверку в вирлаб.

 

Пофиксите в HijackThis:

F2 - REG:system.ini: Shell=C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('WLControl.dll','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\*.exe','');
DeleteFile('WLControl.dll');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs');
DeleteFileMask('C:\Users\8523~1\AppData\Local\Temp\','*.exe ',true ,' ');
DelAutorunByFileName('WLControl.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

 

Приложите текстовый отчёт из KIS (как на картинке)

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
Мирный Атом Ветеран

Мирный Атом

Опубликовано
Опубликовано (изменено)

Roman_Five, а как же это?

 >>  Модифицирован ключ запуска проводника

Таблетка ExecuteRepair(16); нужна <_< +Ask toolbar надо бы удалить....

Изменено пользователем НФР
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано
вот ваша зверюга.

http://www.virustotal.com/file-scan/report...49cf-1293352126

видимо, KIS поместил его на карантин в результате сработки эвристики/проактивки, т.к. базами его ещё не знал.

можете отправить его из карантина на проверку в вирлаб

 

Да я это фалы уже отправил через Личный кабинет

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

0.772726366314125.exe,

0.8465596194027115.exe

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского

Подробный_отчёт.txt

Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано (изменено)

Ответ толь ко что пришёл.

Здравствуйте,

 

0.772726366314125.exe_, 0.8465596194027115.exe_ - Trojan-Ransom.Win32.Gimemo.fw

 

Детектирование файлов будет добавлено в следующее обновление.

 

 

С уважением,

Вирусный аналитик

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем CAIIIKA
Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано
в логах чисто.

 

проверьте ещё такой утилитой.

http://support.kaspersky.ru/faq/?qid=208639606

лог из корня диска С приложите.

 

Готово.

TDSSKiller.2.4.12.0_26.12.2010_16.13.53_log.txt

Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано
тоже чисто.

проверьте на всякий случай на virustotal.com

H:\Destrib\Программы для G15\Новые\CPUtoG15 Beta\WinRing0x64.sys

 

Вот http://www.virustotal.com/file-scan/report...31b8-1285382326

 

P.S. Это программы для клавиатура Logitech G15.

 

Roman_Five спасибо вам большое за помощь <_<

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...