Nova 0 Опубликовано 1 декабря, 2011 Share Опубликовано 1 декабря, 2011 Касперский (теперь уже на домашнем компьютере) выдает сообщение, что svchost.exe пытается открыть вредоносную ссылку: Сообщение от модератора Mark D. Pearlstone Вредоносные ссылки удалены. virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 1 декабря, 2011 Share Опубликовано 1 декабря, 2011 Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 декабря, 2011 Share Опубликовано 1 декабря, 2011 (изменено) Nova, + к вышесказанному Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. C:\Program Files\AutoHideIP\AutoHideIP.exe C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe',''); QuarantineFile('C:\Program Files\Common Files\microsoft shared\dmu100.pi',''); QuarantineFile('C:\Program Files\AutoHideIP\AutoHideIP.exe',''); QuarantineFile('D:\Games\Counter Strike 1.6\! myACC !\acdev.sys',''); QuarantineFile('E:\Distr\Distr\! SITE\Programs\TOP Generator\TopGen.exe.BAK',''); QuarantineFile('D:\TEMP\игры alawar\BeachPartyCraze-Rus------------------.exe',''); QuarantineFile('D:\TEMP\игры alawar\10DaysUnderTheSea----------------------------.exe',''); QuarantineFile('D:\TEMP\игры alawar\AnimalAgents-----------------------.exe',''); QuarantineFile('D:\TEMP\игры alawar\--------Turtix.exe',''); QuarantineFile('D:\Games\NFS Hot Pursuit 2\Support\Need For Speed Hot Pursuit 2_eReg.bak',''); QuarantineFile('Z:\usr\local\mysql5\bin\mysqld.exe',''); DeleteFile('C:\Program Files\Common Files\microsoft shared\dmu100.pi'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. - обновите Java до актуальной версии >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end. Повторите логи AVZ и RSIT Изменено 6 декабря, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
Nova 0 Опубликовано 1 декабря, 2011 Автор Share Опубликовано 1 декабря, 2011 C:\Program Files\AutoHideIP\AutoHideIP.exe Нет такого файла у меня на компьютере... C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe На D он... http://www.virustotal.com/file-scan/report...d18b-1322759712 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" Выполнил Отправьте на проверку Quarantine.zip из папки AVZ через данную форму Файл около 94Мб не могу передать через форму и сюда никак... обновите Java до актуальной версии Выполнил Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то Выполнил mbam_log_2011_12_01__23_36_43_.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 1 декабря, 2011 Share Опубликовано 1 декабря, 2011 Пофиксите в HijackThis R3 - URLSearchHook: (no name) - - (no file) Запустите AVZ - меню "Файл" - "Просмотр карантина". Удалите из карантина данные файлы D:\Games\Counter Strike 1.6\! myACC !\acdev.sysD:\Games\NFS Hot Pursuit 2\Support\Need For Speed Hot Pursuit 2_eReg.bak D:\TEMP\игры alawar\--------Turtix.exe D:\TEMP\игры alawar\10DaysUnderTheSea----------------------------.exe D:\TEMP\игры alawar\AnimalAgents-----------------------.exe D:\TEMP\игры alawar\BeachPartyCraze-Rus------------------.exe E:\Distr\Distr\! SITE\Programs\TOP Generator\TopGen.exe.BAK E:\Distr\Distr\Documents\RABOTA\Кристалл\ВхЗаявки\РАО ЕЭС\Ответы\РЗА\Бреслер\Серт. соответствия.rar E:\Distr\Games\NFS\Support\Need For Speed Hot Pursuit 2_eReg.bak и Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. После этого папку с карантином отправьте по вышеуказанной форме. Удалять кряки (кейгены) или нет - на ваше усмотрение c:\program files\total commander\Plugins\arc\Default.sfx c:\program files\total commander\Utilites\SFX Tool\Upack.exe c:\program files\натали брукс - тайна наследства\uninstall.exe e:\Distr\Distr\keygen.exe e:\Distr\Distr\! SITE\Programs\top generator\topgen-patch.exe e:\Distr\Distr\! SITE\Programs\top generator\[Crack]\topgen-patch.exe e:\Distr\Distr\arhivator\WinRAR 3.71\core keygen.exe e:\Distr\Distr\arhivator\winrar_3.62rus\winrar.3.xx.generic.patch.exe e:\Distr\Distr\games lorik\взлом игр nevosoft\nevosoft.games.universal.patch.exe e:\Distr\Distr\games lorik\взлом игр nevosoft\nevosoft.new.wrapper.patcher.exe Пуск--Панель управления--Установка и удаление программ Находим там Malwarebytes' Anti-Malware и нажимаем удалить. Все важные пароли советую сменить. Проблемы остались какие-то? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.