rotor Опубликовано 27 сентября, 2011 Поделиться Опубликовано 27 сентября, 2011 И снова здравствуйте.Кажется что-то новое нашёл.Посмотрите, пожалуйста.Если да , то каков план действий? http://www.virustotal.com/file-scan/report...cfd4-1317136701 virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 27 сентября, 2011 Поделиться Опубликовано 27 сентября, 2011 (изменено) rotor, 99%, что заражён. проверьте компьютер утилитой из данной статьи http://support.kaspersky.ru/faq/?qid=208639606 Обязательно деинсталлируйте MBAM! так и не выполнили! Изменено 27 сентября, 2011 пользователем Roman_Five Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 27 сентября, 2011 Поделиться Опубликовано 27 сентября, 2011 (изменено) И снова здравствуйте.Кажется что-то новое нашёл.Посмотрите, пожалуйста.Если да , то каков план действий? Зловред, просто пока его нет в базах. Вот и не детектят антивирусы. Скачали его сегодня вот с этим flash_player_update... Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Users\Андрей\appdata\local\temp\flash_player_update.exe',''); QuarantineFile('C:\Windows\system32\vmelfvh.dll',''); DeleteFile('C:\Windows\system32\vmelfvh.dll'); DeleteFile('C:\Users\Андрей\appdata\local\temp\flash_player_update.exe'); DelAutorunByFileName('C:\Windows\system32\vmelfvh.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пока MBAM не удалили, делайте полное сканирование + логи RSIT + повторите логи по правилам раздела. Изменено 27 сентября, 2011 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
rotor Опубликовано 28 сентября, 2011 Автор Поделиться Опубликовано 28 сентября, 2011 (изменено) TDSS ничего не нашёл. AVZ не выполняет второй скрипт - expected в позиции 4:1. MBAM удалял и загрузил снова после возникновения проблем. http://www.getsysteminfo.com/read.php?file...8fb55087e319601 hijackthis.log log.txt mbam_log_2011_09_28__13_42_08_.txt virusinfo_syscheck.zip virusinfo_syscure.zip GetSystemInfo_АНДРЕЙ_ПК_Андрей_2011_09_28_20_46_10.zip Изменено 28 сентября, 2011 пользователем rotor Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 28 сентября, 2011 Поделиться Опубликовано 28 сентября, 2011 AVZ не выполняет второй скрипт - expected в позиции 4:1. Второй скрипт без ошибок, проверьте, может не все скопировали... Ссылка на комментарий Поделиться на другие сайты Поделиться
rotor Опубликовано 28 сентября, 2011 Автор Поделиться Опубликовано 28 сентября, 2011 Получилось, отправил в лабораторию. Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 28 сентября, 2011 Поделиться Опубликовано 28 сентября, 2011 (изменено) TDSS ничего не нашёл. а лог покажите всё-таки... был один тревожный звоночек для его использования... Восстановление системы: включено отключите восстановление системы Изменено 28 сентября, 2011 пользователем Roman_Five Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 28 сентября, 2011 Поделиться Опубликовано 28 сентября, 2011 (изменено) Получилось, отправил в лабораторию. Хорошо, ждем ответ. Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Windows\system32\vmelfvh.dll',''); QuarantineFile('C:\Windows\system32\2947.tmp',''); DeleteFile('C:\Windows\system32\vmelfvh.dll'); DeleteFile('C:\Windows\system32\2947.tmp'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); DelAutorunByFileName('C:\Windows\system32\vmelfvh.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать O20 - AppInit_DLLs: C:\Windows\system32\vmelfvh.dll Убедитесь, что вы запускаете данные программы от имени администратора! После этого Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) и повторите логи AVZ + RSIT. После выполнения лога RSIT должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. P.S. как у вас получилось первые логи сделать AVZ с обновленными базами, а сегодняшние со старыми? Изменено 28 сентября, 2011 пользователем Tiare Ссылка на комментарий Поделиться на другие сайты Поделиться
rotor Опубликовано 29 сентября, 2011 Автор Поделиться Опубликовано 29 сентября, 2011 Что получилось - прикрепил.В лабораторию отправил.Строчку не профиксил - её нет. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip TDSSKiller.2.6.2.0_28.09.2011_20.51.58_log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 29 сентября, 2011 Поделиться Опубликовано 29 сентября, 2011 (изменено) rotor, проверьте на Вирустотал данный файл, ссылку на результат приложите. C:\Windows\system32\drivers\vde4mzux.sys Удаляйте TDSSKiller. Обязательно деинсталлируйте MBAM! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. Проблемы есть какие-то? Ответ по отправленным файлам на анализ еще не приходил? Изменено 29 сентября, 2011 пользователем Tiare Ссылка на комментарий Поделиться на другие сайты Поделиться
rotor Опубликовано 29 сентября, 2011 Автор Поделиться Опубликовано 29 сентября, 2011 Ответа ещё нет. MBAM деинсталлировал вчера. http://www.virustotal.com/file-scan/report...d4f6-1317281339 Видимых проблем нет. Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 29 сентября, 2011 Поделиться Опубликовано 29 сентября, 2011 (изменено) Зловредов больше не вижу. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. создайте новую контрольную точку восстановления и очистите заражённую Если Вы хотите избежать нового заражения, то желательно: - не работать за компьютером с правами администратора; - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать альтернативный браузер) - регулярно устанавливать обновления windows и обновлять антивирусные базы; Почему нужно постоянно обновлять ОС? После завершения лечения советую вам почитать этот материал, чтобы узнать больше об эффективных мерах профилактики заражения. Изменено 29 сентября, 2011 пользователем Tiare Ссылка на комментарий Поделиться на другие сайты Поделиться
rotor Опубликовано 29 сентября, 2011 Автор Поделиться Опубликовано 29 сентября, 2011 (изменено) Спасибо за помощь.Всё сделал. Если Вы хотите избежать нового заражения, то желательно:- не работать за компьютером с правами администратора; - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать альтернативный браузер) - регулярно устанавливать обновления windows и обновлять антивирусные базы; Всегда так делаю. Изменено 29 сентября, 2011 пользователем rotor Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 29 сентября, 2011 Поделиться Опубликовано 29 сентября, 2011 Всегда так делаю. Хорошо. Если очень хотите скачать какую-то программу, то перед запуском проверьте ее на Вирустотале, или хотя бы запустите в безопасной среде. Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 29 сентября, 2011 Поделиться Опубликовано 29 сентября, 2011 (изменено) rotor, 1) лог TDSSKiller так и не был полностью сделан. после запуска утилиты необходимо было нажать на кнопку "начать проверку" 2) как только придет ответ из вирлаба, опубликуйте его, пжл Изменено 29 сентября, 2011 пользователем Roman_Five Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти