tarGet Опубликовано 29 июня, 2011 Опубликовано 29 июня, 2011 появилась данная проблема.. при загрузке винды появляется Самораспаковывающийся архив и еще в браузере стартовая страница поменялась на **** вот логи hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Сообщение от модератора Mark D. Pearlstone Вредоносная ссылка удалена.
Roman_Five Опубликовано 29 июня, 2011 Опубликовано 29 июня, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('{DEF85C80-216A-43ab-AF70-1665EDBE2780}', 4); QuarantineFile('C:\Program Files\VKMus\vkmus.dll',''); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS\system32\XPize.scr',''); QuarantineFile('C:\WINDOWS\msauc.exe',''); QuarantineFile('C:\Games\PartyGaming\*.*',''); QuarantineFile('C:\Documents and Settings\123\Application Data\archsoft\*.*',''); QuarantineFile('%SYSTEMROOT%\system32\XPize.scr',''); QuarantineFile('C:\WINDOWS\TEMP\26A.tmp',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys',''); QuarantineFile('C:\DOCUME~1\123\LOCALS~1\Temp\tQT22N2h.sys',''); DeleteFile('C:\WINDOWS\TEMP\26A.tmp'); DeleteFileMask('C:\Documents and Settings\123\Application Data\archsoft\','*.* ',true ,' '); DeleteDirectory('C:\Documents and Settings\123\Application Data\archsoft\ ',' '); DeleteFileMask('C:\Games\PartyGaming\ ','*.* ',true,' '); DeleteDirectory('C:\Games\PartyGaming\ ',' '); DeleteFile('C:\WINDOWS\msauc.exe'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxgz'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lsass driver'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WMDM PMSP Service'); DeleteService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',1,1,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net F2 - REG:system.ini: Shell=explorer.exe F3 - REG:win.ini: run= O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe O4 - HKLM\..\Run: [winxgz] "C:\Documents and Settings\123\Application Data\archsoft\arcstart.exe" autostart O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Games\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Games\PartyGaming\PartyPoker\RunApp.exe После проведённого лечения рекомендуется: - установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows) * выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64 - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. + Сделайте лог GMER http://forum.kasperskyclub.ru/index.php?sh...st&p=108482
tarGet Опубликовано 29 июня, 2011 Автор Опубликовано 29 июня, 2011 mbam_log_2011_06_29__21_06_11_.txt gmerlog.log
thyrex Опубликовано 29 июня, 2011 Опубликовано 29 июня, 2011 Удалите в МВАМ только указанные строки Заражённые ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken. Заражённые папки: c:\documents and settings\123\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken. c:\documents and settings\123\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken. Заражённые файлы: c:\documents and settings\123\doctorweb\quarantine\hUVTPF.syz (Rootkit.Chksyn) -> No action taken. c:\documents and settings\123\doctorweb\quarantine\KHUWjl.syz (Rootkit.Chksyn) -> No action taken. c:\documents and settings\123\doctorweb\quarantine\vef4UJ.syz (Rootkit.Chksyn) -> No action taken. c:\documents and settings\123\рабочий стол\avz4\quarantine\2011-06-29\avz00066.dta (Trojan.FakeSMS) -> No action taken. c:\system volume information\_restore{59938c7c-4c41-4a42-adbc-c3c29fc6e2b3}\RP1\A0000011.exe (Trojan.FakeSMS) -> No action taken. c:\WINDOWS\system32\phcthlj0e18g.bmp (Trojan.FakeAlert) -> No action taken. c:\WINDOWS\system32\lich.dat (Stolen.data) -> No action taken. c:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken. c:\documents and settings\123\local settings\application data\target marketing agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken. c:\documents and settings\123\local settings\application data\target marketing agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken. c:\documents and settings\123\local settings\application data\target marketing agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
Roman_Five Опубликовано 30 июня, 2011 Опубликовано 30 июня, 2011 tarGet, не выполнили: После проведённого лечения рекомендуется:- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows) * выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64 - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти