airbond 0 Опубликовано 21 июня, 2011 Share Опубликовано 21 июня, 2011 Заранее спасибо за помощь virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
zirreX 10 Опубликовано 21 июня, 2011 Share Опубликовано 21 июня, 2011 (изменено) Выполните скрипт в AVZ AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; TerminateProcessByName('c:\windows\update.2\svchost.exe'); TerminateProcessByName('c:\windows\update.1\svchost.exe'); SetServiceStart('srviecheck', 4); StopService('srviecheck'); QuarantineFile('C:\WINDOWS\sysdriver32_.exe',''); QuarantineFile('C:\WINDOWS\sysdriver32.exe',''); QuarantineFile('C:\WINDOWS\services32.exe',''); QuarantineFile('C:\WINDOWS\l1rezerv.exe',''); QuarantineFile('C:\WINDOWS\TEMP\46038313.exe',''); QuarantineFile('C:\WINDOWS\TEMP\4415497.exe',''); QuarantineFile('C:\WINDOWS\TEMP\2486842.exe',''); QuarantineFile('C:\WINDOWS\TEMP\1018618.exe',''); QuarantineFile('c:\windows\update.2\svchost.exe',''); QuarantineFile('c:\windows\update.1\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\winsys2.exe',''); DeleteFile('C:\WINDOWS\system32\winsys2.exe'); DeleteFile('c:\windows\update.1\svchost.exe'); DeleteFile('c:\windows\update.2\svchost.exe'); DeleteFile('C:\WINDOWS\TEMP\1018618.exe'); DeleteFile('C:\WINDOWS\TEMP\2486842.exe'); DeleteFile('C:\WINDOWS\TEMP\4415497.exe'); DeleteFile('C:\WINDOWS\TEMP\46038313.exe'); DeleteFile('C:\WINDOWS\l1rezerv.exe'); DeleteFile('C:\WINDOWS\services32.exe'); DeleteFile('C:\WINDOWS\sysdriver32.exe'); DeleteFile('C:\WINDOWS\sysdriver32_.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1018618.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2486842.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4415497.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','46038313.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','scr'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinSys2'); DeleteService('srviecheck'); DeleteFileMask('c:\windows\update.2\','*.*', true); DeleteFileMask('c:\windows\update.1\','*.*', true); DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true); DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true); DeleteDirectory('c:\windows\update.2\'); DeleteDirectory('c:\windows\update.1\'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('srviecheck'); BC_Activate; ExecuteRepair(13); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите в этой теме. Пофиксите в hijackthis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R3 - URLSearchHook: (no name) - - (no file) Сделайте новые логи! Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. • Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Изменено 21 июня, 2011 пользователем zirreX Цитата Ссылка на сообщение Поделиться на другие сайты
airbond 0 Опубликовано 22 июня, 2011 Автор Share Опубликовано 22 июня, 2011 После всех проделанных операций в трее пропал значок Касперского. Жду дальнейшего руководства. Спасибо. Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. l1rezerv.exe - Trojan.Win32.Scar.djln services32.exe, svchost_0.exe - Trojan-PSW.Win32.VKont.bhn svchost.exe - Trojan.Win32.VkHost.dua sysdriver32.exe, sysdriver32_.exe - Trojan.Win32.Scar.dzbi В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами. >> description: >> virus >> >> Загруженные файлы: >> quarantine.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log log.txt info.txt mbam_log_2011_06_22__18_54_16_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
zirreX 10 Опубликовано 23 июня, 2011 Share Опубликовано 23 июня, 2011 (изменено) VPetsPlayer вы устанавливали? Удалите в MBAM: Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVSYSDRIVER32 (Trojan.Agent) -> No action taken. Зараженные файлы: c:\WINDOWS\548595.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\951658.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\loader10.exe_ok (Malware.Trace) -> No action taken. Выполните скрипт в AVZ AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\antivirus2011.exe',''); QuarantineFile('C:\WINDOWS\951658.exe',''); QuarantineFile('C:\WINDOWS\548595.exe',''); QuarantineFile('C:\Documents and Settings\User\Рабочий стол\Flash-Player.exe',''); DeleteFile('C:\WINDOWS\winlog-dirs.txt'); DeleteFile('C:\WINDOWS\antivirus2011.exe'); DeleteFile('C:\WINDOWS\iplist.txt'); DeleteFile('C:\WINDOWS\loader10.exe_ok'); DeleteFile('C:\WINDOWS\951658.exe'); DeleteFile('C:\WINDOWS\winlog-ids.txt'); DeleteFile('C:\WINDOWS\winlog-dirs.txt'); DeleteFileMask('C:\WINDOWS\av_ico','*.*', true); DeleteDirectory('C:\WINDOWS\av_ico'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\services32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.1\svchost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.2\svchost.exe'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\wxpdrivers'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NWEReboot'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите в этой теме. Сделайте новые логи MBAM/RSIT. Смените все пароли после лечения! Изменено 23 июня, 2011 пользователем zirreX Цитата Ссылка на сообщение Поделиться на другие сайты
airbond 0 Опубликовано 23 июня, 2011 Автор Share Опубликовано 23 июня, 2011 >>VPetsPlayer вы устанавливали? да, это было уствновлено до возникновения проблемы. Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. antivirus2011.exe - Trojan.Win32.Scar.dzch log.txt mbam_log_2011_06_23__18_36_01_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
zirreX 10 Опубликовано 23 июня, 2011 Share Опубликовано 23 июня, 2011 Удалите в MBAM всё найденное, кроме: Зараженные файлы: c:\program files\total commander\Wcmikons.dll (Trojan.FakeAlert) -> No action taken. Повторите лог MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.