Tionard 0 Опубликовано 2 июля, 2011 Share Опубликовано 2 июля, 2011 (изменено) Итак, мой брат сидел за компом и повелся на прикол вконтакте. Мол пришло сообщение- привет как дела? от друга. Потом ссылка на видео из якобы ютуба. Он загрузил вирус оттуда, поверив что ему действительно нужно скачать какой-то кодак. Ну вот. Сначало комп перезагружался в безопасный режим, потом обратно. Отключаеш шнур локального соединения - включаеться и работает. Проверял комп и компактной версией касперского и Анти-малваром, находило вирусы, чистило, после перезагрузки опять все сначала. Подумал поставить каспера 11, до активации дела не дошло, подключил сетевой шнур - комп перезагрузился, а каспер в типа усиленом режиме стал работать. ЛОГИ: Anti-Malware: mbam_log_2011_07_03__13_15_27_.txt AVZ: virusinfo_syscure.zip virusinfo_syscheck.zip Trend Micro HijackThis hijackthis.log Изменено 2 июля, 2011 пользователем Tionard Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 2 июля, 2011 Share Опубликовано 2 июля, 2011 Удалите в mbam Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS (Trojan.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wxpDrivers\ImagePath (Trojan.Agent) -> Value: ImagePath -> No action taken. Зараженные файлы: c:\WINDOWS\Temp\7570409.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\Temp\1766316.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\Temp\2576906.exe (Backdoor.Delf) -> No action taken. c:\WINDOWS\Temp\6413816.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\Temp\7419978.exe (Trojan.VkHost) -> No action taken. c:\WINDOWS\Temp\9603263.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\update.1\svchost.exe (Trojan.Agent) -> No action taken. Сделайте новый лог mbam Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\services32.exe',''); DeleteFile('C:\WINDOWS\services32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(RegKeyStrParamRead('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Desktop')+'\avz_quarantine.zip'); end. Карантин сохранится на рабочем столе. Карантин отправьте на newvirus@kaspersky.com Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Tionard 0 Опубликовано 2 июля, 2011 Автор Share Опубликовано 2 июля, 2011 (изменено) Можно вопрос? Как удалить через Mbab? Те файлы которые в карантине? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Забыл скинуть лог Мбаб. сейчас зделаю скан Изменено 2 июля, 2011 пользователем Tionard Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 июля, 2011 Share Опубликовано 2 июля, 2011 Читайте по ссылке Удалите в МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
Tionard 0 Опубликовано 2 июля, 2011 Автор Share Опубликовано 2 июля, 2011 mbam_log_2011_07_03__19_49_25_.txt Там 2 заражонных ключа только нашло на этот раз. Но для полного их удаления попросило перезагрузку. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 июля, 2011 Share Опубликовано 2 июля, 2011 Там 2 заражонных ключа только нашло на этот раз. Вы их удалили? сделайте контрольный лог MBAM выполните: AVZ - файл - мастер поиска и устранения проблем - системные проблемы - поиск - исправить сделайте лог GSI http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906 Цитата Ссылка на сообщение Поделиться на другие сайты
Tionard 0 Опубликовано 2 июля, 2011 Автор Share Опубликовано 2 июля, 2011 О_О удалило! Огромное спасибо) Комп не перезагружаеться, зараженный касперский тоже пропал) сейчас попробую его удалить, а то не хотел) Итак логи финальные: http://www.getsysteminfo.com/read.php?file...cde14db90f2469e GetSystemInfo_MICROSOF_AF1879_Admin_2011_07_03_21_38_39.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 июля, 2011 Share Опубликовано 2 июля, 2011 (изменено) Драйверы, требующие обновления Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller: Новые доступные обновления Загрузить новый драйвер Деинсталлируйте MBAM Очистите временные файлы Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Удалите все возможные продукты ЛК с помощью утилиты в безопасном режиме: http://support.kaspersky.ru/faq/?qid=208635705 Установите заново KIS 2011 Изменено 2 июля, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Tionard 0 Опубликовано 2 июля, 2011 Автор Share Опубликовано 2 июля, 2011 Извиняюсь, но там ссылка не на ATF Cleaner, а на RSIT какой-то) Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 июля, 2011 Share Опубликовано 2 июля, 2011 (изменено) а на RSIT какой-то) сори... http://www.atribune.org/index.php?option=c...5&Itemid=25 красная ссылка Изменено 2 июля, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Tionard 0 Опубликовано 2 июля, 2011 Автор Share Опубликовано 2 июля, 2011 Все сделал кроме одного. Каспер не удаляеться ни в обычном ни в безопасном. Разница только что в обычном он под конец удаления совершает откат. А в безопасном удаление невозможно имено из за того что безопасный режим.. Вот как-то так тупо. Может попробовать CCleaner-ом? Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 июля, 2011 Share Опубликовано 2 июля, 2011 Каспер не удаляеться ни в обычном ни в безопасном. удаляли штатно? нужно с помощью утилиты http://support.kaspersky.ru/faq/?qid=208635705 Цитата Ссылка на сообщение Поделиться на другие сайты
Tionard 0 Опубликовано 2 июля, 2011 Автор Share Опубликовано 2 июля, 2011 Спасибо) уже все! Огромное спасибо=) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.