Требуется лечение.

[Мизантроп]

Предоставляю логи с одной машины. Уверен, что заражена.

Симптомы: очень медленная работа ОС.

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Roman_Five]

Деинсталлируйте AskToolbar

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\NokiaInstallerCache\ProductCache\{D5878294-C113-43c5-A24F-FC333C52015A}\{3FC42713-B6E7-49AA-A553-A224FE9828A8}\Installer\InstallerService.exe','');
QuarantineFile('C:\WINDOWS\system32\APISlice.dll','');
QuarantineFile('C:\WINDOWS\system32\MSNSpook.dll','');
QuarantineFile('C:\WINDOWS\system32\UIVCL.dll','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 89600622854
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKUS\S-1-5-21-4229521504-2944731196-676908693-1006\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User '?')
O4 - HKUS\S-1-5-21-4229521504-2944731196-676908693-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-4229521504-2944731196-676908693-1006\..\Run: []  (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - S-1-5-21-4229521504-2944731196-676908693-1006 Startup: USBGuard.lnk = ? (User '?')

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- Avira;

- DrWEB.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии, если используете

- обновить Adobe Reader до актуальной версии, если используете

- обновить Adobe Shockwave Player до актуальной версии, если используете

- обновить Adobe Flash Player до актуальной версии, если используете

- обновить QuickTime Player до актуальной версии, если используете

 

Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Сделайте новые логи по правилам.

[Мизантроп]

Скрипты выполнил. Обновления сделаю позже.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 10 апреля, 2011 пользователем Мизантроп

[thyrex]

Обновите базы AVZ и переделайте логи

 

Сделайте лог полного сканирования МВАМ

[Мизантроп]

Обновите базы AVZ и переделайте логи

 

Сделайте лог полного сканирования МВАМ

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

mbam_log_2011_04_10__23_57_13_.txt

[Roman_Five]

Удалите в MBAM:

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563} (Backdoor.Bifrose) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6D7B211A-88EA-490c-BAB9-3600D8D7C503} (Trojan.BHO) -> No action taken.

Заражённые папки:
c:\program files\connectionservices (Trojan.BHO) -> No action taken.

Заражённые файлы:
c:\WINDOWS\system32\dfrgre.dll.ren (Trojan.Downloader) -> No action taken.
c:\program files\connectionservices\uninstall.exe (Trojan.BHO) -> No action taken.

 

Обновляйте систему!

[Мизантроп]

Удалите в MBAM:

После этого нужно прикладывать какие-нибудь логи?

Обновляйте систему!

Сейчас нет возможности.

[Roman_Five]

После этого нужно прикладывать какие-нибудь логи?

нет.

 

Сейчас нет возможности.

срочно изыщите, ибо SP2 - это очень плохо для Windows XP

[thyrex]

После этого нужно прикладывать какие-нибудь логи?

Если внимательно прочитать по ссылке об удалении в МВАМ, то там сказано, что нужно представить лог после удаления записей