Вредоносные ссылки обходят антивирус Касперского

[Сергей (абв)]

Заразился компьютер. Установленный постоянный Касперский Интернет Секюрити 2012 (КИС 2012), Virus Removal Tool, CureIt! нашли и удалили, что могли, в том числе Backdoor.Win32.Generic (Trojan.Mayachok.1), больше ничего не находят. Но при выходе в Интернет и включении браузера в окне Отчёты КИС 2012 начинает расти счётчик Вредоносные ссылки. КИС 2012 их не блокирует и тревоги не бьёт. Очень прошу помочь, заранее благодарен.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[icotonev]

Здравствуйте..!

 

• Отключите временно:

Антивирус/Файерволл

 

• Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('G:\WINDOWS\system32\qekxssf.dll','');
QuarantineFile('G:\WINDOWS\hws.exe','');
QuarantineFile('E:\System Volume Information\_restore{686CFC1B-883F-4A27-B2A3-D6A37F952C80}\RP369\A0140169.exe','');
DeleteFile('G:\WINDOWS\system32\qekxssf.dll');
DeleteFile('E:\System Volume Information\_restore{686CFC1B-883F-4A27-B2A3-D6A37F952C80}\RP369\A0140169.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

 

O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!

Изменено 5 ноября, 2011 пользователем icotonev

[Сергей (абв)]

Выполнил скрипты в AVZ, фиксил в HiJackThis.

 

Сканирования программой Malwarebytes’ Anti-Malware:

 

Установил программу в операционную систему (ОС) в разделе С:\ ( в компьютере две операционные системы, заражение произошло в ОС в разделе G:\, а в ОС в разделе С:\ раздел, где находится другая операционная система видится под буквой D:\ ). Сканировал:

mbam_log_2011_11_05__17_43_18___сканирование_из_раздела_С_.txt

Ничего пока не удалял.

 

Установил программу в ОС в разделе G:\, просканировал:

mbam_log_2011_11_05__18_30_51___сканирование_из_G_.txt

Файл iissync.exe (Virus.Expiro) обнаружился теперь в С:\ и не виден в G:\. Всё программой удалил в карантин.

 

Ещё раз просканировал из C:\

mbam_log_2011_11_05__19_33_21___сканирование_из_С_.txt

Видно новое и виден iissync.exe (Virus.Expiro) в G:\ (D:\). Удалил, что нашло, но восстановил g:\AVZ\avz4\quarantine\2011-11-05\avz00002.dta (Malware.Packer.Gen). Почему-то подумал, что именно этот файл нужен для «Запроса на исследование вредоносного файла».

 

Просканировал ещё раз из G:\

mbam_log_2011_11_05__20_19_24___сканирование_из_G_.txt

Удалил, кроме g:\AVZ\avz4\quarantine\2011-11-05\avz00002.dta (Malware.Packer.Gen).

 

Повторил сканирование из G:\

mbam_log_2011_11_05__21_03_19___сканирование_из_G_.txt

На этот раз удалил g:\AVZ\avz4\quarantine\2011-11-05\avz00002.dta (Malware.Packer.Gen).

 

Проблема остаётся. При выходе в Интернет в операционной системе в разделе G (где произошло заражение) в отчётах КИС 2012 счётчик вредоносных ссылок растёт.

 

quarantin.zip отправлю в «Запрос на исследование вредоносного файла». Но файл G:\WINDOWS\system32\qekxssf.dll, возможно, я удалил вручную немного раньше, наверное, его нет в quarantin.zip.

 

Дальше новые логи AVZ и RSIT:

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Изменено 6 ноября, 2011 пользователем Сергей (абв)

[Tiare]

Проблема остаётся. При выходе в Интернет в операционной системе в разделе G (где произошло заражение) в отчётах КИС 2012 счётчик вредоносных ссылок растёт.

 

Попробуйте сделать следующее: KIS - Настройка - Дополнительные параметры - Отчеты и хранилища - Отключить запись некритических событий

Изменено 5 ноября, 2011 пользователем Tiare

[Сергей (абв)]

В компьютере две одинаковые операционные системы (ОС): в разделе G и в разделе C. Заражение произошло в G, там и проявляется в основном. В С меньше.

КИС 2012 установлен в обоих ОС, и там и там в его настройках стоит флажок на «Включить запись некритических событий». Счётчик вредоносных ссылок растёт при выходе в Интернет с Internet Explorer в ОС в G. В другой ОС с Internet Explorer счётчик не растёт, поэтому теперь выхожу в Интернет с него, с операционной системы в разделе С. В обеих ОС была Опера, но в обоих ОС при выходе в неё в Интернет счётчик рос, Оперу удалил.

Попробовал убрать флажок с «Включить запись некритических событий» в КИС в G, счётчик не увеличивается. Но впечатление, что в ОС в G что-то не так. Программа Kaspersky TDSSKiller в ОС в разделе C сканирует 2 минуты, а в ОС разделе G всего 7 секунд, чисто формально (ни там, ни там ничего не находят). Не смог скачать с сайта www.freeavg.com антивирус AVG с его антируткитом, - будто что-то блокирует. При выходе в интернет с ОС в разделе G был синий экран смерти «stop: 0Ч0000008E (0ЧC0000005, 0Ч805AFF12, 0ЧB28B9BC0, 0Ч00000000)».

 

P.S. Почему-то счётчик Вредоносных ссылок стал теперь расти в КИС и в разделе С. То ли из-за того, что отключал и включал его?

Изменено 6 ноября, 2011 пользователем Сергей (абв)

[Сергей (абв)]

Прошу тех, у кого стоит Kaspersky Internet Security 2012, зайдите в его Настройку, слева щёлчок по рисунку коробки, внизу Отчёты и хранилища, уберите и снова поставьте галочку в строке Включить запись некритических событий, жмите ОК. Выведите окно касперского Отчёты с кольцевидными графиками на рабочий стол, зайдите на любой сайт,- счётчик «Вредоносные ссылки» растёт? Это нормально?

 

Антивирус AVG благополучно скачал через заново установленную Оперу. Наверное, в Internet Explorer не хватало какого-то управления надстройками, о чём внизу окна браузера предупреждало, да я вначале не заметил.

Синий экран смерти (писал выше), возможно, не из-за вирусов.

 

Остаётся не ясным, почему Kaspersky TDSSKiller в системе, где было заражение сканирует только в течении 7 секунд?

Ещё хотелось бы узнать, на флешке скрытая папка RECYCLER с файлом Desktop правильно там находится, не вирус? Прихожу куда-нибудь распечатать текст с флешки, с единственного файла doc на ней, а меня спрашивают, что из того, что есть на флешке надо печатать. В Интернете об этом противоположные вещи пишут.

[Tiare]

Прошу тех, у кого стоит Kaspersky Internet Security 2012, зайдите в его Настройку, слева щёлчок по рисунку коробки, внизу Отчёты и хранилища, уберите и снова поставьте галочку в строке Включить запись некритических событий, жмите ОК. Выведите окно касперского Отчёты с кольцевидными графиками на рабочий стол, зайдите на любой сайт,- счётчик «Вредоносные ссылки» растёт? Это нормально?

У меня то же самое. По этому поводу можете не беспокоиться.

 

Насчет вредоносных ссылок почитайте тут

 

Ещё хотелось бы узнать, на флешке скрытая папка RECYCLER с файлом Desktop правильно там находится, не вирус?

При сканировании флешки KIS находит что-то? Если сомневаетесь в безвредности содержимого, можете проверить файлы с флешки тут

 

 

 

Когда проверяли систему TDSSKiller, что-то было найдено? Если данная папка не пустая G:\TDSSKiller_Quarantine - заархивируйте и отправьте ее по вышеуказанной форме. Придет ответ, прикрепите его в данной теме.

 

 

Активного заражения в данный момент не вижу. Если есть подозрения, что ваша вторая система заражена, создавайте отдельную тему.

 

 

- Обновите Internet Explorer 8 до актуальной версии

 

- обновите Adobe Reader до актуальной версии

 

- обновите Adobe Flash Player до актуальной версии

Изменено 6 ноября, 2011 пользователем Tiare

[Сергей (абв)]

Ладно, тогда, наверное, можно расслабиться. Благодарю за помощь.