Andrey_s Опубликовано 24 сентября, 2011 Опубликовано 24 сентября, 2011 Часто стали обнаруживаться трояны, и даже после их удаления из карантина AVG (9 Free). Название Downloader.Agent2.AUVY Находятся чаще в D:\System Volume Information\_restore{...........}\RP906\... и здесь экзешный файл типа "A0236128.exe" Система: Windows XP Pro SP3 Проделали процедуру по рекомендации http://forum.kasperskyclub.ru/index.php?showtopic=1698 Выкладываю 3 ЛОГА, ПОЖАЛУЙСТА, посмотрите - на что обратить внимание? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
Roman_Five Опубликовано 25 сентября, 2011 Опубликовано 25 сентября, 2011 Andrey_s, добро пожаловать на форум! Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\Installer\303be.msi',''); QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\jar_cache6757465501768265733.tmp',''); QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\jar_cache6631454668982819242.tmp',''); QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\5C5.tmp',''); QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\5C4.tmp',''); QuarantineFile('C:\Program Files\Common Files\msado320.tlb',''); DeleteFile('C:\Program Files\Common Files\msado320.tlb'); DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\5C4.tmp'); DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\5C5.tmp'); DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\jar_cache6631454668982819242.tmp'); DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\jar_cache6757465501768265733.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R3 - URLSearchHook: (no name) - - (no file) После проведённого лечения рекомендуется: - обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Очистите временные файлы Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению.
Andrey_s Опубликовано 25 сентября, 2011 Автор Опубликовано 25 сентября, 2011 Выкладываю лог Malwarebytes' Anti-Malware. Можно ли удалить зараженный объект реестра, который находится сейчас в Карантине? И можно ли - остальные 4 зараженные файла? mbam_log_2011_09_26__01_57_57_.txt
Roman_Five Опубликовано 26 сентября, 2011 Опубликовано 26 сентября, 2011 Можно ли удалить Удалите в MBAM ТОЛЬКО следующие объекты: c:\documents and settings\Андрей\application data\avdrn.dat (Malware.Trace) -> No action taken. c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Проверьте на virustotal.com c:\program files\avs video converter 7.1.3.484\patch\avs4you.all.products.activator.v1.3b-mpt.exe d:\z_my_comp.programm\icon_empire_iconomaker_v320-1025-102064651.exe 2 ссылки на результат проверки приложите. Сделайте контрольные логи по правилам. что с проблемой?
Andrey_s Опубликовано 26 сентября, 2011 Автор Опубликовано 26 сентября, 2011 Первое выполнили. Прикрепляю лог после MBAM а чтобы проверить на virustotal.com вот эти файлы: c:\program files\avs video converter 7.1.3.484\patch\avs4you.all.products.activator.v1.3b-mpt.exe d:\z_my_comp.programm\icon_empire_iconomaker_v320-1025-102064651.exe не удается найти (видим их только в Карантине МВАМ) Проверили еще МВАМом - пишет всё чисто. Контрольные логи вкладываю. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log mbam_log_2011_09_26__19_25_38_.txt
Roman_Five Опубликовано 27 сентября, 2011 Опубликовано 27 сентября, 2011 не удается найти (видим их только в Карантине МВАМ) Вы их поспешили удалить. всё чисто. деинсталлируйте MBAM.
Andrey_s Опубликовано 29 сентября, 2011 Автор Опубликовано 29 сентября, 2011 Вы их поспешили удалить. всё чисто. деинсталлируйте MBAM. А из карантина МВАМ их можно удалить? и можно ли параллельно с KIS пользоваться время от времени проверкой МВАМом?
Tiare Опубликовано 29 сентября, 2011 Опубликовано 29 сентября, 2011 (изменено) Andrey_s, файлы из карантина программы удаляются при ее деинсталляции. Обязательно деинсталлируйте MBAM! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. Если будет необходимость, сможете всегда заново установить программу и провести проверку. Установочный файл же у вас сохраняется) Изменено 29 сентября, 2011 пользователем Tiare
Andrey_s Опубликовано 30 сентября, 2011 Автор Опубликовано 30 сентября, 2011 Roman_Five и Tiare огромное вам спасибо!
akoK Опубликовано 30 сентября, 2011 Опубликовано 30 сентября, 2011 пользоваться время от времени проверкой МВАМом? Если не активировать платные функции MBAM, то можно использовать программу как сканер по требованию. Учтите, что MBAM не любит варез и часты ложные срабатывания.
Andrey_s Опубликовано 30 сентября, 2011 Автор Опубликовано 30 сентября, 2011 частые ложные срабатывания. Можете уточнить, что это значит - на каком-то примере.
akoK Опубликовано 30 сентября, 2011 Опубликовано 30 сентября, 2011 ммм... маил агент, системные файлы помеченные как зараженные, кейгены, кряки.....
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти