Касперский не реагирует на "Нейтрализовать всё"

[yo-york]

Касперский нашел вирус в с:\program files\opera\0.9... и дальше цифры и .exe, называется PDM:Trojan.Win32.Generic

 

Не реагирует на нажатие кнопок "Нейтрализовать всё" и "Исправить". Перезагружала компьютер два раза - бесполезно, обновляла два раза базы - бесполезно. (До этого вируса сегодня же находил вирус в небезызвестном hosts, удалил и создал резервную копию.). Теперь же опера запускается и самопроизвольно закрывается тут же, на вк не пускает - спрашивает валидацию через номер телефона (вирус ли?), качала Kaspersky Virus Removal Tool 2011, который при запуске завис, так и не ожил.

 

Вообщем, я не знаю что делать, подскажите пожалуйста!

[apq]

yo-york, выполняйте правила

[Kaspersky User]

yo-york можно узнать какая у Вас версия и билд антивируса установлены? Случайно не Антивирус Касперского/Kaspersky Internet Security 2011 (11.0.1.400)?

[yo-york]

все правильно, KIS 2011 11.0.1.400, кст, история получила продолжение

 

Kaspersky Virus Removal Tool 2011 так и не оклемался, поставила Dr.Web CureIt!, который завис на 3/4 проверки, найдя одну программу для взлома, которую так и не удалил и два трояна, которые удалил.

 

Мой каспер попросил полностью проверить комп, вот сейчас сканирует, пару-тройку еще троянов удалил, но вчерашний - нет. В вк я больше зайти не могу - требует валидацию (ввести свой номер телефона)

[Mark D. Pearlstone]

yo-york, если вы не выполните правила раздела http://forum.kasperskyclub.ru/index.php?showtopic=31551, то тема будет закрыта. Без логов лечения не будет.

[yo-york]

хорошо, все выполню

 

AVZ автоматичсеки не сохранил virusinfo_syscure.zip, программа сейчас включена - что делать дальше? (в папке LOG ничего нет)

 

как сохранить всмысле?

[Roman_Five]

AVZ запускали не из архива? распаковали перед запуском?

а вообще стандартный скрипт №3 выполняли?

 

логи RSIT eсть?

Изменено 19 октября, 2011 пользователем Roman_Five

[Tiare]

yo-york, внимательно прочитайте правила запроса и попробуйте еще раз подготовить нужные логи.

[yo-york]

с помощью RSIT

 

 

syscure есть

 

сейчас сканирует syscheck

чуть позже добавлю

 

syscheck

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Roman_Five]

yo-york,

удалите остатки Kaspersky Virus Removal Toolс помощью утилиты из данной статьи

http://support.kaspersky.ru/faq/?qid=208635705

 

проверьте на virustotal.com файл

C:\WINDOWS\system32\ckldrv.sys

ссылку на результат проверки приложите.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[yo-york]

то есть утилита удалит и самого касперского Kaspersky Internet Security?

 

всё, поняла. сейчас сделаю

 

в выпадающем списке есть только Kaspersky Internet Security. Kaspersky Virus Removal Toolс там нет

 

http://www.virustotal.com/file-scan/report...a60f-1319054034

[Roman_Five]

Kaspersky Virus Removal Toolс там нет

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

 

 

 

лог MBAM ещё не готов?

[yo-york]

MBAM

 

извините, отчёт GSI сделаю завтра. сейчас надо спать

 

спасибо вам за терпение!

mbam_log_2011_10_20__00_42_04_.txt

[Roman_Five]

Удалите в MBAM ТОЛЬКО следующие объекты:

Зараженные процессы в памяти:
c:\program files\mediabar toolbar\rubarupdateservice.exe (PUP.Rubar) -> 2028 -> No action taken.

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{6A44A601-E455-47D9-9712-0B79EEE39A9C} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{9285AB27-8BD7-421A-9AA5-2523C00D4E4A} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{D17B4854-A796-4173-9775-5FB684E40ADA} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0411B32B-E91D-4208-8913-9DB95BE806C3} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Broker.ServerLayer.1 (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Broker.ServerLayer (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{C41FAEC8-6123-4F4D-8B1F-426AF5F9A59A} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{270860E2-0441-4BB9-9FE1-FAE0ECBB2E97} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\iebar.PluginCore.1 (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\iebar.PluginCore (PUP.Rubar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\iebar.PluggableProtocol.1 (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\iebar.PluggableProtocol (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8DBC3732-863F-41B4-9A36-BCDBEB05E7C5} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8DBC3732-863F-41B4-9A36-BCDBEB05E7C5} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{BC64691C-C3A7-4913-9301-6D323BC72B93} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{6515FF50-8533-49F9-B5A1-8839E9DF8E22} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{72FA4765-9255-4C69-AB1F-23F78B3D94D6} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Broker.RubarDealer.1 (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\Broker.RubarDealer (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\iebar.Searcher.1 (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\iebar.Searcher (PUP.Rubar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> No action taken.
HKEY_CLASSES_ROOT\PROTOCOLS\Handler\rubar (PUP.Rubar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rubar Update Service (PUP.Rubar) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Value: {23DD83B5-BDDC-49CE-B77B-514819C6D551} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Value: {C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Value: {23DD83B5-BDDC-49CE-B77B-514819C6D551} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Value: {C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\RubarToolbar2714 (PUP.Rubar) -> Value: RubarToolbar2714 -> No action taken.

Зараженные папки:
c:\documents and settings\deep_case\application data\rubar-toolbar (PUP.Rubar) -> No action taken.
c:\documents and settings\localservice\application data\rubar-toolbar (PUP.Rubar) -> No action taken.

Зараженные файлы:
c:\program files\mediabar toolbar\rubar.dll (PUP.Rubar) -> No action taken.
c:\program files\mediabar toolbar\rubarbroker.exe (PUP.Rubar) -> No action taken.
c:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken.
c:\WINDOWS\system32\com.run (Trojan.Banker) -> No action taken.
c:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
c:\program files\mediabar toolbar\rubarupdateservice.exe (PUP.Rubar) -> No action taken.
c:\documents and settings\deep_case\application data\rubar-toolbar\broker.log.log (PUP.Rubar) -> No action taken.
c:\documents and settings\deep_case\application data\rubar-toolbar\msihelper.log.log (PUP.Rubar) -> No action taken.
c:\documents and settings\localservice\application data\rubar-toolbar\service.log.log (PUP.Rubar) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

проверьте на virustotal.com 2 первых файда в списке и пару на выбор из остальных

c:\documents and settings\deep_case\application data\thinstall\stdu converter version 1.0.85.0\1000000b00002i\verclsid.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\deep_case\application data\thinstall\stdu converter version 1.0.85.0\40000090500002i\foxit reader.exe (Trojan.Agent) -> No action taken.
d:\Флешка\office 2003 sp3 portable\thinstall\office\10000001600002i\msiexec.exe (Rootkit.Dropper) -> No action taken.
d:\Флешка\office 2003 sp3 portable\thinstall\office\1000000600002i\svchost.exe (Rootkit.Dropper) -> No action taken.
d:\Флешка\office 2003 sp3 portable\thinstall\office\1000000600002i\verclsid.exe (Rootkit.Dropper) -> No action taken.
d:\Флешка\office 2003 sp3 portable\thinstall\office\1000000b00002i\rundll32.exe (Rootkit.Dropper) -> No action taken.
d:\Флешка\office 2003 sp3 portable\thinstall\office\300000009e500002i\EXCEL.EXE (Rootkit.Dropper) -> No action taken.
d:\Флешка\office 2003 sp3 portable\thinstall\office\30000000bed00002i\WINWORD.EXE (Rootkit.Dropper) -> No action taken.
d:\Флешка\office 2003 sp3 portable\thinstall\office\30000000c200002i\DW20.EXE (Rootkit.Dropper) -> No action taken.
d:\Флешка\office 2003 sp3 portable\thinstall\office\4000001900002i\msohelp.exe (Rootkit.Dropper) -> No action taken.
d:\Флешка\office 2003 sp3 portable\thinstall\office\4000002c00002i\hpqusgl.exe (Rootkit.Dropper) -> No action taken.
d:\Флешка\office 2003 sp3 portable\thinstall\office\400000cc00002i\Opera.exe (Rootkit.Dropper) -> No action taken.

4 ссылки приложите.

Изменено 19 октября, 2011 пользователем Roman_Five

[yo-york]

лог после удаления прикрепила

 

 

http://www.virustotal.com/file-scan/report...e2fb-1319110068

 

http://www.virustotal.com/file-scan/report...5ed4-1319110808

 

http://www.virustotal.com/file-scan/report...09d5-1319111821

 

http://www.virustotal.com/file-scan/report...bce2-1319112012

 

http://www.virustotal.com/file-scan/report...c60b-1319112251

 

 

 

лог

 

такой вопрос: касперского можно включить?

mbam_log_2011_10_20__15_29_19_.txt