Перейти к содержанию

Усиленный режим работы после видео вконтакте


Рекомендуемые сообщения

Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
TerminateProcessByName('c:\windows\update.2\svchost.exe');
TerminateProcessByName('c:\windows\update.1\svchost.exe');
SetServiceStart('srviecheck', 4);
StopService('srviecheck');
QuarantineFile('C:\WINDOWS\sysdriver32_.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
QuarantineFile('C:\WINDOWS\services32.exe','');
QuarantineFile('C:\WINDOWS\l1rezerv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\46038313.exe','');
QuarantineFile('C:\WINDOWS\TEMP\4415497.exe','');
QuarantineFile('C:\WINDOWS\TEMP\2486842.exe','');
QuarantineFile('C:\WINDOWS\TEMP\1018618.exe','');
QuarantineFile('c:\windows\update.2\svchost.exe','');
QuarantineFile('c:\windows\update.1\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
DeleteFile('C:\WINDOWS\system32\winsys2.exe');
DeleteFile('c:\windows\update.1\svchost.exe');
DeleteFile('c:\windows\update.2\svchost.exe');
DeleteFile('C:\WINDOWS\TEMP\1018618.exe');
DeleteFile('C:\WINDOWS\TEMP\2486842.exe');
DeleteFile('C:\WINDOWS\TEMP\4415497.exe');
DeleteFile('C:\WINDOWS\TEMP\46038313.exe');
DeleteFile('C:\WINDOWS\l1rezerv.exe');
DeleteFile('C:\WINDOWS\services32.exe');
DeleteFile('C:\WINDOWS\sysdriver32.exe');
DeleteFile('C:\WINDOWS\sysdriver32_.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1018618.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2486842.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4415497.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','46038313.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','scr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinSys2');
DeleteService('srviecheck');
DeleteFileMask('c:\windows\update.2\','*.*', true);
DeleteFileMask('c:\windows\update.1\','*.*', true);
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
DeleteDirectory('c:\windows\update.2\');
DeleteDirectory('c:\windows\update.1\');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srviecheck');
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится!

 

После перезагрузки выполните такой скрипт:

 

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского.

 

В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите свой электронный адрес.

Полученный ответ сообщите в этой теме.

 

Пофиксите в hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) -  - (no file)

 

Сделайте новые логи!

 

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Изменено пользователем zirreX
Ссылка на комментарий
Поделиться на другие сайты

После всех проделанных операций в трее пропал значок Касперского.

Жду дальнейшего руководства.

Спасибо.

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

l1rezerv.exe - Trojan.Win32.Scar.djln

services32.exe,

svchost_0.exe - Trojan-PSW.Win32.VKont.bhn

svchost.exe - Trojan.Win32.VkHost.dua

sysdriver32.exe,

sysdriver32_.exe - Trojan.Win32.Scar.dzbi

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

 

>> description:

>> virus

>>

>> Загруженные файлы:

>> quarantine.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

log.txt

info.txt

mbam_log_2011_06_22__18_54_16_.txt

Ссылка на комментарий
Поделиться на другие сайты

VPetsPlayer вы устанавливали?

 

Удалите в MBAM:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\WINDOWS\548595.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\951658.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\loader10.exe_ok (Malware.Trace) -> No action taken.

 

 

Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\antivirus2011.exe','');
QuarantineFile('C:\WINDOWS\951658.exe','');
QuarantineFile('C:\WINDOWS\548595.exe','');
QuarantineFile('C:\Documents and Settings\User\Рабочий стол\Flash-Player.exe','');
DeleteFile('C:\WINDOWS\winlog-dirs.txt');
DeleteFile('C:\WINDOWS\antivirus2011.exe'); 
DeleteFile('C:\WINDOWS\iplist.txt');
DeleteFile('C:\WINDOWS\loader10.exe_ok');
DeleteFile('C:\WINDOWS\951658.exe');
DeleteFile('C:\WINDOWS\winlog-ids.txt');
DeleteFile('C:\WINDOWS\winlog-dirs.txt');
DeleteFileMask('C:\WINDOWS\av_ico','*.*', true);
DeleteDirectory('C:\WINDOWS\av_ico');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\services32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.1\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.2\svchost.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\wxpdrivers');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NWEReboot');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится!

 

После перезагрузки выполните такой скрипт:

 

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского.

 

В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите свой электронный адрес.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи MBAM/RSIT.

 

Смените все пароли после лечения!

Изменено пользователем zirreX
Ссылка на комментарий
Поделиться на другие сайты

>>VPetsPlayer вы устанавливали?

да, это было уствновлено до возникновения проблемы.

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

antivirus2011.exe - Trojan.Win32.Scar.dzch

log.txt

mbam_log_2011_06_23__18_36_01_.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ilyambuss
      От Ilyambuss
      после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было.. в чём может быть проблема? проверки касперским никаких проблем не выявляют
    • Ilyambuss
      От Ilyambuss
      здравствуйте, неделю назад обращался сюда с такой проблемой: "после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было". это оказался майнер, сейчас проблема абсолютно идентичного характера, нужна помощь. и прошу прощения что наступаю на те же грабли и занимаю время консультантов, работающих на этом сайте 
      CollectionLog-2024.10.29-21.38.zip
    • Ilyambuss
      От Ilyambuss
      после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было. началось это с недавних пор, раньше такого не было. может ли это быть какой-нибудь майнер или любой другой вирус? и грозит ли эта проблема преждевременному износу комплектующих ноута? проверки касперским никаких проблем не выявляют
      CollectionLog-2024.10.21-01.06.zip
    • wadim1904
      От wadim1904
      На компьютерах с kaspersky endpoint security 10 при открытии сайта Госуслуги нет значка ГОСТ (картинка приложена). Как я понял из-за того, что касперский использует свой корневой центр для проверки сертификатов.
      Как отключить эту функцию?

    • Elly
      От Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
×
×
  • Создать...