Nova 0 Опубликовано 1 декабря, 2011 Share Опубликовано 1 декабря, 2011 (изменено) Касперский выдает сообщение, что svchost.exe пытается открыть вредоносную ссылку: Сообщение от модератора Mark D. Pearlstone Вредоносные ссылки удалены. virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Изменено 1 декабря, 2011 пользователем Mark D. Pearlstone Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 декабря, 2011 Share Опубликовано 1 декабря, 2011 Nova, здравствуйте. Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. C:\Program Files\Common Files\microsoft shared\ksu3api.sap C:\WINDOWS\SETUP1.EXE C:\WINDOWS\ISUN16.EXE эти адреса в доверенную зону сами добавляли? O15 - Trusted Zone: *.authority.ruO15 - Trusted Zone: *.bankplus.ru O15 - Trusted Zone: *.faktura.ru Remote Administrator сами устанавливали? Приложите отчет полного сканирования Malwarebytes' Anti-Malware -эта программа у вас установлена. Запустите Malwarebytes' Anti-Malware, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Цитата Ссылка на сообщение Поделиться на другие сайты
Nova 0 Опубликовано 1 декабря, 2011 Автор Share Опубликовано 1 декабря, 2011 Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. http://www.virustotal.com/file-scan/report...ca77-1322731711 http://www.virustotal.com/file-scan/report...6c3c-1322731997 http://www.virustotal.com/file-scan/report...d4b4-1322731923 эти адреса в доверенную зону сами добавляли? Это клиент-банк установлен. Remote Administrator сами устанавливали? да mbam_log_2011_12_01__17_07_42_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 декабря, 2011 Share Опубликовано 1 декабря, 2011 (изменено) ваш зловред Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\Common Files\microsoft shared\ksu3api.sap',''); DeleteFile('C:\Program Files\Common Files\microsoft shared\ksu3api.sap'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis R3 - URLSearchHook: (no name) - - (no file) удалять это или нет - на ваше усмотрение c:\program files\globalscape\cuteftp 8 professional\Crack.exe c:\program files\TC\Plugins\arc\sfx7z\Upack.exe c:\program files\TC\Plugins\arc\sfx7z.015\Upack.exe Обязательно деинсталлируйте MBAM! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. - обновите Java до актуальной версии Kaspersky Internet Security 2010 - желательно перейти на актуальную версию - KIS 2012 Повторите логи AVZ и RSIT Что с проблемой? P.S. рекомендую сменить все важные пароли, т.к. по определению одной из антивирусных компаний ваш зловред - Trojan.PWS.Turist (имеет функционал похитителя паролей). Изменено 6 декабря, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
Nova 0 Опубликовано 1 декабря, 2011 Автор Share Опубликовано 1 декабря, 2011 (изменено) P.S. рекомендую сменить все важные пароли, т.к. по определению одной из антивирусных компаний ваш зловред - Trojan.PWS.Turist (имеет функционал похитителя паролей). Спасибо большое. Каспер перестал ругаться. Есть еще вопросы: 1. С флэшкой этот троян может ходить? 2. Есть еще компьютер с точно такой же проблемой - этим скриптом решится проблема или все по новой? virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Изменено 1 декабря, 2011 пользователем Nova Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 декабря, 2011 Share Опубликовано 1 декабря, 2011 (изменено) Подчистим хвосты. Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\all-radio\allradio.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$DI02.203\msvbvm60.dll',''); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$DI02.203\msvbvm60.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Ответ по отправленному карантину (1 и 2) обязательно покажите. Повторите логи AVZ. По другому компьютеру создавайте отдельную тему. Эти скрипты пишутся именно для вашего компьютера, на других компьютерах их выполнять нельзя! Изменено 6 декабря, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
Nova 0 Опубликовано 1 декабря, 2011 Автор Share Опубликовано 1 декабря, 2011 Tiare, а AllRadio будет после этого скрипта работать? Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 декабря, 2011 Share Опубликовано 1 декабря, 2011 Tiare, а AllRadio будет после этого скрипта работать? будет, я его не удаляю, просто беру файл на проверку Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.