airbond Опубликовано 21 июня, 2011 Поделиться Опубликовано 21 июня, 2011 Заранее спасибо за помощь virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
zirreX Опубликовано 21 июня, 2011 Поделиться Опубликовано 21 июня, 2011 (изменено) Выполните скрипт в AVZ AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; TerminateProcessByName('c:\windows\update.2\svchost.exe'); TerminateProcessByName('c:\windows\update.1\svchost.exe'); SetServiceStart('srviecheck', 4); StopService('srviecheck'); QuarantineFile('C:\WINDOWS\sysdriver32_.exe',''); QuarantineFile('C:\WINDOWS\sysdriver32.exe',''); QuarantineFile('C:\WINDOWS\services32.exe',''); QuarantineFile('C:\WINDOWS\l1rezerv.exe',''); QuarantineFile('C:\WINDOWS\TEMP\46038313.exe',''); QuarantineFile('C:\WINDOWS\TEMP\4415497.exe',''); QuarantineFile('C:\WINDOWS\TEMP\2486842.exe',''); QuarantineFile('C:\WINDOWS\TEMP\1018618.exe',''); QuarantineFile('c:\windows\update.2\svchost.exe',''); QuarantineFile('c:\windows\update.1\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\winsys2.exe',''); DeleteFile('C:\WINDOWS\system32\winsys2.exe'); DeleteFile('c:\windows\update.1\svchost.exe'); DeleteFile('c:\windows\update.2\svchost.exe'); DeleteFile('C:\WINDOWS\TEMP\1018618.exe'); DeleteFile('C:\WINDOWS\TEMP\2486842.exe'); DeleteFile('C:\WINDOWS\TEMP\4415497.exe'); DeleteFile('C:\WINDOWS\TEMP\46038313.exe'); DeleteFile('C:\WINDOWS\l1rezerv.exe'); DeleteFile('C:\WINDOWS\services32.exe'); DeleteFile('C:\WINDOWS\sysdriver32.exe'); DeleteFile('C:\WINDOWS\sysdriver32_.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1018618.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2486842.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4415497.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','46038313.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','scr'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinSys2'); DeleteService('srviecheck'); DeleteFileMask('c:\windows\update.2\','*.*', true); DeleteFileMask('c:\windows\update.1\','*.*', true); DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true); DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true); DeleteDirectory('c:\windows\update.2\'); DeleteDirectory('c:\windows\update.1\'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('srviecheck'); BC_Activate; ExecuteRepair(13); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите в этой теме. Пофиксите в hijackthis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R3 - URLSearchHook: (no name) - - (no file) Сделайте новые логи! Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. • Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Изменено 21 июня, 2011 пользователем zirreX Ссылка на комментарий Поделиться на другие сайты Поделиться
airbond Опубликовано 22 июня, 2011 Автор Поделиться Опубликовано 22 июня, 2011 После всех проделанных операций в трее пропал значок Касперского. Жду дальнейшего руководства. Спасибо. Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. l1rezerv.exe - Trojan.Win32.Scar.djln services32.exe, svchost_0.exe - Trojan-PSW.Win32.VKont.bhn svchost.exe - Trojan.Win32.VkHost.dua sysdriver32.exe, sysdriver32_.exe - Trojan.Win32.Scar.dzbi В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами. >> description: >> virus >> >> Загруженные файлы: >> quarantine.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log log.txt info.txt mbam_log_2011_06_22__18_54_16_.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
zirreX Опубликовано 23 июня, 2011 Поделиться Опубликовано 23 июня, 2011 (изменено) VPetsPlayer вы устанавливали? Удалите в MBAM: Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken. Зараженные файлы: c:\WINDOWS\548595.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\951658.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\loader10.exe_ok (Malware.Trace) -> No action taken. Выполните скрипт в AVZ AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\antivirus2011.exe',''); QuarantineFile('C:\WINDOWS\951658.exe',''); QuarantineFile('C:\WINDOWS\548595.exe',''); QuarantineFile('C:\Documents and Settings\User\Рабочий стол\Flash-Player.exe',''); DeleteFile('C:\WINDOWS\winlog-dirs.txt'); DeleteFile('C:\WINDOWS\antivirus2011.exe'); DeleteFile('C:\WINDOWS\iplist.txt'); DeleteFile('C:\WINDOWS\loader10.exe_ok'); DeleteFile('C:\WINDOWS\951658.exe'); DeleteFile('C:\WINDOWS\winlog-ids.txt'); DeleteFile('C:\WINDOWS\winlog-dirs.txt'); DeleteFileMask('C:\WINDOWS\av_ico','*.*', true); DeleteDirectory('C:\WINDOWS\av_ico'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\services32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.1\svchost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.2\svchost.exe'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\wxpdrivers'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NWEReboot'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите в этой теме. Сделайте новые логи MBAM/RSIT. Смените все пароли после лечения! Изменено 23 июня, 2011 пользователем zirreX Ссылка на комментарий Поделиться на другие сайты Поделиться
airbond Опубликовано 23 июня, 2011 Автор Поделиться Опубликовано 23 июня, 2011 >>VPetsPlayer вы устанавливали? да, это было уствновлено до возникновения проблемы. Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. antivirus2011.exe - Trojan.Win32.Scar.dzch log.txt mbam_log_2011_06_23__18_36_01_.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
zirreX Опубликовано 23 июня, 2011 Поделиться Опубликовано 23 июня, 2011 Удалите в MBAM всё найденное, кроме: Зараженные файлы: c:\program files\total commander\Wcmikons.dll (Trojan.FakeAlert) -> No action taken. Повторите лог MBAM. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти