Scout 0 Опубликовано 4 сентября, 2011 Share Опубликовано 4 сентября, 2011 (изменено) Добрый день, зашел на сайт - [ссылка удалена] и после этого по всем программам получал "не является приложением win32". В момент захода на сайт открылось черное окно cmd. Был установлен nod32. В сети нашел солюшен, где было описано о восстановлении работоспособности системы по открытию exe. После этого система работает вроде бы стабильно. Прошелся cureit и nod32 - вирусов не обнаружено, но т.к. работаю с сайтами - есть опасения, что вирус все же присутствует. Помогите решить проблему. Возможно вы, как специалисты, сразу поймете о том, какой вирус распространяет этот сайт. Спасибо! Строгое предупреждение от модератора Jen94 Размещение подозрительных/вредоносных ссылок запрещено правилами форума.Ссылка была удалена и отправлена на анализ. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 5 сентября, 2011 пользователем Jen94 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 сентября, 2011 Share Опубликовано 5 сентября, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\kmsem\kmservice.exe'); QuarantineFile('C:\Windows\svchost.com',''); QuarantineFile('C:\Users\Yuri\Application Data\The Bat!\yuri@ugryumov.ru\Attach\требования к коду.doc',''); QuarantineFile('C:\Users\Yuri\AppData\Roaming\The Bat!\yuri@ugryumov.ru\Attach\требования к коду.doc',''); QuarantineFile('C:\Documents and Settings\Yuri\Application Data\The Bat!\yuri@ugryumov.ru\Attach\требования к коду.doc',''); QuarantineFile('C:\Documents and Settings\Yuri\AppData\Roaming\The Bat!\yuri@ugryumov.ru\Attach\требования к коду.doc',''); QuarantineFile('C:\Users\Yuri\AppData\Local\Temp\lx3KnvW0.sys',''); QuarantineFile('c:\windows\kmsem\kmservice.exe',''); DeleteFile('C:\Windows\svchost.com'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой: - DrWeb (CureIT). Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Scout 0 Опубликовано 5 сентября, 2011 Автор Share Опубликовано 5 сентября, 2011 Скрипты выполнил. Среди "троянов" есть пара давних кейгенов, которые реально вполне безопасны. Я их не стал удалять. Отчеты все повторил, кроме самого первого, который полтора часа идет. Касперские ответили, что мои файлы в процессе обработки. mbam_log_2011_09_05__15_07_59_.txt hijackthis.log virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 сентября, 2011 Share Опубликовано 5 сентября, 2011 Scout, не выполнили: После проведённого лечения рекомендуется:- установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('c:\users\yuri\appdata\local\apps\2.0\hzyot4q2.37v\9mddj837.4ea\curs..tion_eee711038731a406_0004.0000_0d453ed5fea2fe48\curseclient.exe',''); QuarantineFile('C:\Windows\System32\drivers\hvmg.sys',''); BC_ImportQuarantineList; BC_QrFile('C:\Windows\System32\drivers\hvmg.sys'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Очистите временные файлы Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Скачайте Random's System Information Tool (RSIT) или с зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Деинсталлируйте MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
Scout 0 Опубликовано 5 сентября, 2011 Автор Share Опубликовано 5 сентября, 2011 Все действия выполнил. Начала появляться ошибка при загрузке - GoogleUpdate.exe - Ошибка приложения Ошибка при запуске приложения (0xc000007b). Для выхода из приложения нажмите кнопку "ОК". info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 сентября, 2011 Share Опубликовано 5 сентября, 2011 Начала появляться ошибка при загрузке - странно. мы ничего не удаляли. почистите реестр с помощью CCleaner Цитата Ссылка на сообщение Поделиться на другие сайты
Scout 0 Опубликовано 5 сентября, 2011 Автор Share Опубликовано 5 сентября, 2011 Переустановил Chrome. Проблема пропала. Прошелся CCleaner`ом - в реестре 155 ошибок. Все исправлены. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 сентября, 2011 Share Опубликовано 5 сентября, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; QuarantineFile('C:\Windows\System32\drivers\dwshd.sys ',' '); QuarantineFile('C:\Windows\system32\tzres.dll ',' '); QuarantineFile('C:\Users\Yuri\AppData\Roaming\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1\*.* ',' '); DeleteFile('C:\Windows\System32\drivers\dwshd.sys'); DeleteService('dwshd', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Рекомендуется удалить ПО, которое может конфликтовать с установленным Kaspersky Internet Security: - MBAM. Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. После проведённого лечения рекомендуется установить следующие обновления: - обновить Adobe Reader до актуальной версии Сделайте контрольные логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
Scout 0 Опубликовано 5 сентября, 2011 Автор Share Опубликовано 5 сентября, 2011 Все выполнил. Запросы на исследование отправил. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 сентября, 2011 Share Опубликовано 5 сентября, 2011 Сделайте контрольные логи по правилам. ! Цитата Ссылка на сообщение Поделиться на другие сайты
Scout 0 Опубликовано 5 сентября, 2011 Автор Share Опубликовано 5 сентября, 2011 Прошу прощения! Файлы ниже. log.txt virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 6 сентября, 2011 Share Опубликовано 6 сентября, 2011 Рекомендуется удалить ПО, которое может конфликтоватьс установленным Kaspersky Internet Security: - MBAM. в логах чисто. Цитата Ссылка на сообщение Поделиться на другие сайты
Scout 0 Опубликовано 6 сентября, 2011 Автор Share Опубликовано 6 сентября, 2011 Благодарю вас! Это высший пилотаж! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.