На съеммном Жестком диске файлы определяются как ярлыки

mbam_log_2011_06_06__04_45_52_.txt

5 июня, 2011

подключите съёмный ЖД (G:)

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ClearQuarantine;
TerminateProcessByName('C:\Users\Const\AppData\Roaming\Hyxexl.exe');
QuarantineFile('G:\autorun.inf','Trojan.Win32.AutoRun.bkr');
QuarantineFile('G:\sestro\minla.exe','');
QuarantineFile('G:\kobi\*.*','');
QuarantineFile('C:\Users\Const\AppData\Roaming\Hyxexl.exe','');
DeleteFile('C:\Users\Const\AppData\Roaming\Hyxexl.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\sestro\minla.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hyxexl');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',1,1,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [Hyxexl] C:\Users\Const\AppData\Roaming\Hyxexl.exe
O13 - Gopher Prefix:

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Сделайте новые логи по правилам.

7 июня, 2011

новый лог

Изменено 7 июня, 2011 пользователем BAHEK1987

7 июня, 2011

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\Const\AppData\Roaming\Hyxexl.exe','');
QuarantineFile('G:\RECYCLER\f4448e25.exe','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLER\f4448e25.exe');
DeleteFile('C:\Users\Const\AppData\Roaming\Hyxexl.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hyxexl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Сделайте новые логи по правилам.

9 июня, 2011

А также

Сделайте лог полного сканирования МВАМ

10 июня, 2011

f4448e25.exe - Worm.Win32.AutoRun.ckgl

Hyxexl.exe - Backdoor.Win32.Ruskill.ee

авира постоянно ссылается на опасные объекты в appData\Roaming пишет о троянской программе TR/Jorik.Skor.ahi

на другом буке у подруги также заражение.

при подключении внешнего устройства памяти ( к примеру флэшки) также папке превращаются в ярлыки к ним

в данный момент делаю логи еще раз

f4448e25.exe - Worm.Win32.AutoRun.ckgl
Hyxexl.exe - Backdoor.Win32.Ruskill.ee

авира постоянно ссылается на опасные объекты в appData\Roaming пишет о троянской программе TR/Jorik.Skor.ahi

на другом буке у подруги также заражение.

при подключении внешнего устройства памяти ( к примеру флэшки) также папке превращаются в ярлыки к ним

в данный момент делаю логи еще раз

osam.html

mbam_log_2011_06_13__15_57_31_.txt

10 июня, 2011

Лог МВАМ где?

10 июня, 2011

при подключении внешнего устройства памяти

долечите оба компьютера (для второго откройте новую тему).

Вы постоянно заражаете свой внешний ЖД. не используйте его после лечения на втором компьютере, пока не полечите и его.

сделайте НОВЫЙ лог Hijackthis (Вы прикладывали старый).

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('G:\RECYCLER\f4448e25.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Const\AppData\Roaming\*.exe','');
QuarantineFile('C:\Documents and Settings\Const\Application Data\*.exe','');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLER\f4448e25.exe');
DeleteFileMask('C:\Documents and Settings\Const\Application Data\ ','*.exe ',false ,' ');
DeleteFileMask('C:\Documents and Settings\Const\AppData\Roaming\','*.exe ', false,' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 9.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

Сделайте новые логи по правилам.

+ лог MBAM

14 июня, 2011

Файлы получилось восстановить http://forum.kasperskyclub.ru/index.php?showtopic=29429

помогла программка USB SHOW

Вот логи с 1-го Ноутбука

Спасибо!

mbam_log_2011_06_13__15_57_31_.txt

osam.html