Сергей (абв) 0 Опубликовано 4 ноября, 2011 Share Опубликовано 4 ноября, 2011 Заразился компьютер. Установленный постоянный Касперский Интернет Секюрити 2012 (КИС 2012), Virus Removal Tool, CureIt! нашли и удалили, что могли, в том числе Backdoor.Win32.Generic (Trojan.Mayachok.1), больше ничего не находят. Но при выходе в Интернет и включении браузера в окне Отчёты КИС 2012 начинает расти счётчик Вредоносные ссылки. КИС 2012 их не блокирует и тревоги не бьёт. Очень прошу помочь, заранее благодарен. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 5 ноября, 2011 Share Опубликовано 5 ноября, 2011 (изменено) Здравствуйте..! • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('G:\WINDOWS\system32\qekxssf.dll',''); QuarantineFile('G:\WINDOWS\hws.exe',''); QuarantineFile('E:\System Volume Information\_restore{686CFC1B-883F-4A27-B2A3-D6A37F952C80}\RP369\A0140169.exe',''); DeleteFile('G:\WINDOWS\system32\qekxssf.dll'); DeleteFile('E:\System Volume Information\_restore{686CFC1B-883F-4A27-B2A3-D6A37F952C80}\RP369\A0140169.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После всех процедур выполните скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. • HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Пожалуйста, подготовить новые логи с АВЗ и RSIT...! Изменено 5 ноября, 2011 пользователем icotonev Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей (абв) 0 Опубликовано 5 ноября, 2011 Автор Share Опубликовано 5 ноября, 2011 (изменено) Выполнил скрипты в AVZ, фиксил в HiJackThis. Сканирования программой Malwarebytes’ Anti-Malware: Установил программу в операционную систему (ОС) в разделе С:\ ( в компьютере две операционные системы, заражение произошло в ОС в разделе G:\, а в ОС в разделе С:\ раздел, где находится другая операционная система видится под буквой D:\ ). Сканировал: mbam_log_2011_11_05__17_43_18___сканирование_из_раздела_С_.txt Ничего пока не удалял. Установил программу в ОС в разделе G:\, просканировал: mbam_log_2011_11_05__18_30_51___сканирование_из_G_.txt Файл iissync.exe (Virus.Expiro) обнаружился теперь в С:\ и не виден в G:\. Всё программой удалил в карантин. Ещё раз просканировал из C:\ mbam_log_2011_11_05__19_33_21___сканирование_из_С_.txt Видно новое и виден iissync.exe (Virus.Expiro) в G:\ (D:\). Удалил, что нашло, но восстановил g:\AVZ\avz4\quarantine\2011-11-05\avz00002.dta (Malware.Packer.Gen). Почему-то подумал, что именно этот файл нужен для «Запроса на исследование вредоносного файла». Просканировал ещё раз из G:\ mbam_log_2011_11_05__20_19_24___сканирование_из_G_.txt Удалил, кроме g:\AVZ\avz4\quarantine\2011-11-05\avz00002.dta (Malware.Packer.Gen). Повторил сканирование из G:\ mbam_log_2011_11_05__21_03_19___сканирование_из_G_.txt На этот раз удалил g:\AVZ\avz4\quarantine\2011-11-05\avz00002.dta (Malware.Packer.Gen). Проблема остаётся. При выходе в Интернет в операционной системе в разделе G (где произошло заражение) в отчётах КИС 2012 счётчик вредоносных ссылок растёт. quarantin.zip отправлю в «Запрос на исследование вредоносного файла». Но файл G:\WINDOWS\system32\qekxssf.dll, возможно, я удалил вручную немного раньше, наверное, его нет в quarantin.zip. Дальше новые логи AVZ и RSIT: virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Изменено 6 ноября, 2011 пользователем Сергей (абв) Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 5 ноября, 2011 Share Опубликовано 5 ноября, 2011 (изменено) Проблема остаётся. При выходе в Интернет в операционной системе в разделе G (где произошло заражение) в отчётах КИС 2012 счётчик вредоносных ссылок растёт. Попробуйте сделать следующее: KIS - Настройка - Дополнительные параметры - Отчеты и хранилища - Отключить запись некритических событий Изменено 5 ноября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей (абв) 0 Опубликовано 5 ноября, 2011 Автор Share Опубликовано 5 ноября, 2011 (изменено) В компьютере две одинаковые операционные системы (ОС): в разделе G и в разделе C. Заражение произошло в G, там и проявляется в основном. В С меньше. КИС 2012 установлен в обоих ОС, и там и там в его настройках стоит флажок на «Включить запись некритических событий». Счётчик вредоносных ссылок растёт при выходе в Интернет с Internet Explorer в ОС в G. В другой ОС с Internet Explorer счётчик не растёт, поэтому теперь выхожу в Интернет с него, с операционной системы в разделе С. В обеих ОС была Опера, но в обоих ОС при выходе в неё в Интернет счётчик рос, Оперу удалил. Попробовал убрать флажок с «Включить запись некритических событий» в КИС в G, счётчик не увеличивается. Но впечатление, что в ОС в G что-то не так. Программа Kaspersky TDSSKiller в ОС в разделе C сканирует 2 минуты, а в ОС разделе G всего 7 секунд, чисто формально (ни там, ни там ничего не находят). Не смог скачать с сайта www.freeavg.com антивирус AVG с его антируткитом, - будто что-то блокирует. При выходе в интернет с ОС в разделе G был синий экран смерти «stop: 0Ч0000008E (0ЧC0000005, 0Ч805AFF12, 0ЧB28B9BC0, 0Ч00000000)». P.S. Почему-то счётчик Вредоносных ссылок стал теперь расти в КИС и в разделе С. То ли из-за того, что отключал и включал его? Изменено 6 ноября, 2011 пользователем Сергей (абв) Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей (абв) 0 Опубликовано 6 ноября, 2011 Автор Share Опубликовано 6 ноября, 2011 Прошу тех, у кого стоит Kaspersky Internet Security 2012, зайдите в его Настройку, слева щёлчок по рисунку коробки, внизу Отчёты и хранилища, уберите и снова поставьте галочку в строке Включить запись некритических событий, жмите ОК. Выведите окно касперского Отчёты с кольцевидными графиками на рабочий стол, зайдите на любой сайт,- счётчик «Вредоносные ссылки» растёт? Это нормально? Антивирус AVG благополучно скачал через заново установленную Оперу. Наверное, в Internet Explorer не хватало какого-то управления надстройками, о чём внизу окна браузера предупреждало, да я вначале не заметил. Синий экран смерти (писал выше), возможно, не из-за вирусов. Остаётся не ясным, почему Kaspersky TDSSKiller в системе, где было заражение сканирует только в течении 7 секунд? Ещё хотелось бы узнать, на флешке скрытая папка RECYCLER с файлом Desktop правильно там находится, не вирус? Прихожу куда-нибудь распечатать текст с флешки, с единственного файла doc на ней, а меня спрашивают, что из того, что есть на флешке надо печатать. В Интернете об этом противоположные вещи пишут. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 6 ноября, 2011 Share Опубликовано 6 ноября, 2011 (изменено) Прошу тех, у кого стоит Kaspersky Internet Security 2012, зайдите в его Настройку, слева щёлчок по рисунку коробки, внизу Отчёты и хранилища, уберите и снова поставьте галочку в строке Включить запись некритических событий, жмите ОК. Выведите окно касперского Отчёты с кольцевидными графиками на рабочий стол, зайдите на любой сайт,- счётчик «Вредоносные ссылки» растёт? Это нормально? У меня то же самое. По этому поводу можете не беспокоиться. Насчет вредоносных ссылок почитайте тут Ещё хотелось бы узнать, на флешке скрытая папка RECYCLER с файлом Desktop правильно там находится, не вирус? При сканировании флешки KIS находит что-то? Если сомневаетесь в безвредности содержимого, можете проверить файлы с флешки тут Когда проверяли систему TDSSKiller, что-то было найдено? Если данная папка не пустая G:\TDSSKiller_Quarantine - заархивируйте и отправьте ее по вышеуказанной форме. Придет ответ, прикрепите его в данной теме. Активного заражения в данный момент не вижу. Если есть подозрения, что ваша вторая система заражена, создавайте отдельную тему. - Обновите Internet Explorer 8 до актуальной версии - обновите Adobe Reader до актуальной версии - обновите Adobe Flash Player до актуальной версии Изменено 6 ноября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей (абв) 0 Опубликовано 6 ноября, 2011 Автор Share Опубликовано 6 ноября, 2011 Ладно, тогда, наверное, можно расслабиться. Благодарю за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.