dfg Опубликовано 30 октября, 2011 Опубликовано 30 октября, 2011 Здравствуйте, ребята, есть ощущения что на компе присутствует вирус, работать не мешает но, воткнул флэшку с фотоаппарата (не зараженную), слил фотки, полазил по компу, после чего вынул её и отдал хозяину... товариш воткнул её в свой комп и увидел сообщение Касперского о наличии вируса, Касперский флэшку почистил и вот его лог в виде скрина. Все процедуры указанные на странице http://forum.kasperskyclub.ru/index.php?showtopic=31551 выполнил, жду вашего совета. Спасибо. virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt
Roman_Five Опубликовано 30 октября, 2011 Опубликовано 30 октября, 2011 вот его лог в виде скрина прикрепите скрин к сообщению. я не вижу его на стороннем ресурсе.
Roman_Five Опубликовано 30 октября, 2011 Опубликовано 30 октября, 2011 Следов зловреда FlyStudio у Вас нет. Необходимо проверять компьютер товарища, или те PC, где ещё использовалась флэшка. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\WI371A~1\*.*',''); DeleteFileMask('C:\PROGRA~1\WI371A~1\ ','*.* ',true ,' '); DeleteDirectory('C:\PROGRA~1\WI371A~1\ ',' '); DelBHO('99079a25-328f-4bd4-be04-00955acaa0a7'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx.dll (file missing) O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx.dll (file missing) Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой: - Kaspersky Virus Removal Tool. Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. После проведённого лечения рекомендуется: - обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить >> Таймаут завершения служб находится за пределами допустимых значений
dfg Опубликовано 30 октября, 2011 Автор Опубликовано 30 октября, 2011 Получил ответ от службы поддержки Касперского "Присланный файл не содержит угроз" в данный момент работает Malwarebytes' Anti-Malware Полное сканирование, уже обнаруженно 5 угроз, жду окончания проверки после чего выложу все сюда
Roman_Five Опубликовано 30 октября, 2011 Опубликовано 30 октября, 2011 Получил ответ от службы поддержки Касперского "Присланный файл не содержит угроз" туда могли попасть остатки адваре http://www.systemlookup.com/CLSID/72565-Se...hqudtx_dll.html http://www.threatexpert.com/report.aspx?md...ec57305a95cb1d5
dfg Опубликовано 30 октября, 2011 Автор Опубликовано 30 октября, 2011 (изменено) Internet Explorer обновил, Malwarebytes' Anti-Malware проверил комп, обнаружено 18 объектов, лог прикрепил. Исправление через AVZ выполнил, единственное не стал обновлять Винду. При обновление страницы форума выходит сообщение, скрин прикрепил к посту. mbam_log_2011_10_30__20_18_50_.txt Изменено 30 октября, 2011 пользователем dfg
Roman_Five Опубликовано 30 октября, 2011 Опубликовано 30 октября, 2011 При обновление страницы форума выходит сообщение не обращайте внимания - скоро MBAM деинсталлируете. Удалите в MBAM ТОЛЬКО следующие объекты: Зараженные ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken. Зараженные папки: c:\program files\funwebproducts (Adware.MyWebSearch) -> No action taken. c:\program files\funwebproducts\screensaver (Adware.MyWebSearch) -> No action taken. c:\program files\funwebproducts\screensaver\Images (Adware.MyWebSearch) -> No action taken. c:\program files\funwebproducts\Shared (Adware.MyWebSearch) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. проверьте на virustotal.com следующие файлы c:\program files\Coyote\Coyote.exe c:\WINDOWS\innounp.exe 2 ссылки на результат проверки приложите. забыли? Сделайте новые логи по правилам.
dfg Опубликовано 30 октября, 2011 Автор Опубликовано 30 октября, 2011 (изменено) про логи действительно забыл, теперь вылаживаю и перехожу к выполнению выше написанного. Удалите в MBAM ТОЛЬКО следующие объекты: Удалил сразу после окончания проверки c:\program files\Coyote\Coyote.exe Папку полностью удалил c:\WINDOWS\innounp.exe Файл не обнаружен, видно я его тоже удалил прогой МВАМ после сканирования (не обратил внимание) virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Изменено 30 октября, 2011 пользователем dfg
Roman_Five Опубликовано 30 октября, 2011 Опубликовано 30 октября, 2011 чисто. деинсталлируйте MBAM. рекомендации - Необходимо проверять компьютер товарища, или те PC, где ещё использовалась флэшка.
dfg Опубликовано 30 октября, 2011 Автор Опубликовано 30 октября, 2011 Ок, Roman_Five большое спасибо, сяду за комп товарища и в этой же теме продолжу, если вы не против...
thyrex Опубликовано 30 октября, 2011 Опубликовано 30 октября, 2011 У нас правило: новый компьютер - новая тема
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти