Help me people!

[Georgia21rus]

Начну со вступления, признаюсь и каюсь, в поисках в интернете бесплатного ключа для игры StarCraft 2 Нашёл кейген, скачал его, открыл, компьютер перезагрузился и начались действия вируса. Все окна открываемые мной закрываются секунды через 2.

 

Начал поиски по поводу этого со второго своего компьютера в интернете, и наткнулся на ваш форум. Увидел то что вы советовали программу ComboFix.exe. Я скачал её она работает, уже Stage_32. Но не понял что делать по завершению её работы. Подскажите. Спасибо.

[Денис-НН]

Добро пожаловать на форум.

Лечение в каждом случае должно проводиться индивидуально. Поэтому, выполните эти указания http://forum.kasperskyclub.ru/index.php?showtopic=1698 и тогда вам смогут помочь.

[Georgia21rus]

Как бы я это сделал, если у меня ничего не запускалось? Сейчас закончилась работа программмы ComboFix.exe и всё прошло, сейчас я могу это сделать, нужно?

[Tiare]

Как бы я это сделал, если у меня ничего не запускалось? Сейчас закончилась работа программмы ComboFix.exe и всё прошло, сейчас я могу это сделать, нужно?

Добрый день.

 

Выполните логи по правилам, отчеты прикрепите к следующему сообщению.

 

Отчет о работе ComboFix сохранился (стандартное расположение C:\ComboFix.txt )? Прикрепите его тоже.

[Georgia21rus]

Всё сделал, простите за задержку, братика из садика забирал.

hijackthis.log

virusinfo_syscheck.zip

ComboFix.txt

virusinfo_syscure.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ClearQuarantine;
StopService('JMCR');
StopService('AFBAgent');
QuarantineFile('C:\Windows\SysWOW64\H@tKeysH@@k.DLL','');
QuarantineFile('C:\Windows\System32\H@tKeysH@@k.DLL','');
QuarantineFile('C:\Windows\Installer\2340ca.msi','');
QuarantineFile('C:\Windows\system32\DRIVERS\jmcr.sys','');
QuarantineFile('C:\Windows\system32\FBAgent.exe','');
QuarantineFile('C:\32788R22FWJFW\*.* ',' ');
DeleteFileMask('C:\32788R22FWJFW\ ','*.* ',true ,' ');
DeleteDirectory('C:\32788R22FWJFW\ ',' ');
QuarantineFile('c:\windows\SysWow64\A303.tmp',' ');
QuarantineFile('c:\windows\SysWow64\lflknag.dll ',' ');
DeleteFile('c:\windows\SysWow64\A303.tmp ');
DeleteFile('c:\windows\SysWow64\lflknag.dll ');
DelAutorunByFileName('c:\windows\SysWow64\lflknag.dll ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- Kaspersky Virus Removal Tool;

- DrWeb.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до версии 9.0 (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Georgia21rus]

2340ca.msi - not-a-virus:Monitor.Win32.ActualSpy.28

 

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

 

H@tKeysH@@k.DLL,

H@tKeysH@@k_0.DLL

 

Вредоносный код в файлах не обнаружен.

 

lflknag.dll,

lflknag_0.dll

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского

[Roman_Five]

Georgia21rus,

ещё необходимы:

новый отчет ComboFix.txt

новые логи по правилам

Полученный лог прикрепите

итого 5 логов.