Irbis73 Опубликовано 5 декабря, 2011 Опубликовано 5 декабря, 2011 Добрый день! Предистория. Пользователь жалуется, что через некоторое время работы пропадает интернет. После перезагрузки все опять работает, но только некоторое время 30-60 минут. Обнаружил, что Касперский убивает во временной папке вирусы: Trojan-Downloader.Win32.Agent.torm Trojan.Win32.Jorik.IRCbot.efa Trojan.Win32.Jorik.Tedroo.dr Trojan-Dropper.Win32.Injector.adcz Похоже когда Касперский убивает вирус пропадает сетевое подключение. Сделал восстановление проводника с помощью команд AVZ - не помогло. Сделал проверку компьютера. Результат в приложенных файлах. Backup.zip - ключи реестра созданные AVZ. virusinfo_syscure.zip virusinfo_syscheck.zip avz.txt hijackthis.log Backup.zip
Roman_Five Опубликовано 5 декабря, 2011 Опубликовано 5 декабря, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\Mafofa.exe',''); DeleteFile('C:\Documents and Settings\l.orlova\Application Data\Mafofa.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mafofa'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. т.е. кроме логов AVZ ещё требуются логи RSIT перед созданием логов RSIT очистите временные файлы Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup-<current number>.exe Обновите базы. После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить"). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению.
Irbis73 Опубликовано 7 декабря, 2011 Автор Опубликовано 7 декабря, 2011 Все сделал согласно инструкции. AVZ обнаружил подмену проводника - сделал восстановление. mbam подчистил вирусы. После этого работает стабильно. Ответа о вирусе пока не дождался. Спасибо! Одно не пойму, что означает "ошибка микропроцесса 385" при сканировании AVZ. virusinfo_syscure.zip virusinfo_syscheck.zip mbam_log_2011_12_06__12_08_20_.txt info.txt log.txt
Roman_Five Опубликовано 7 декабря, 2011 Опубликовано 7 декабря, 2011 (изменено) Одно не пойму, что означает "ошибка микропроцесса 385" при сканировании AVZ. не обращайте внимания Удалите в MBAM: Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zaber0 (Worm.Dorkbot) -> Value: zaber0 -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,explorer.exe) Good: (Explorer.exe) -> No action taken. Зараженные файлы: c:\documents and settings\l.orlova\application data\D.tmp (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028841.exe (Trojan.Bmusic) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028853.exe (Trojan.Bmusic) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028862.exe (Trojan.Bmusic) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028906.exe (Trojan.Bmusic) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028913.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029139.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029147.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029157.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029167.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029177.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029185.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029193.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029202.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029212.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029268.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP203\A0029351.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP205\A0030503.exe (Trojan.Agent) -> No action taken. c:\documents and settings\l.orlova\application data\16.tmp (Trojan.Agent) -> No action taken. c:\documents and settings\l.orlova\application data\17.tmp (Trojan.Agent) -> No action taken. c:\documents and settings\l.orlova\application data\18.tmp (Trojan.Agent) -> No action taken. приложите новый отчёт. c:\program files\TrafInsp\Agent\trafinspag_tollbar.dll проверьте на virustotal.com ссылку приложите. Изменено 7 декабря, 2011 пользователем Roman_Five
Irbis73 Опубликовано 7 декабря, 2011 Автор Опубликовано 7 декабря, 2011 В MBAM удалил сразу. вот лог. c:\program files\TrafInsp\Agent\trafinspag_tollbar.dll - это агент трафик инспектора. mbam_log_2011_12_07__14_37_50_.txt
Roman_Five Опубликовано 7 декабря, 2011 Опубликовано 7 декабря, 2011 Деинсталлируйте MBAM Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\*.tmp',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe',''); DeleteFileMask('C:\Documents and Settings\l.orlova\Application Data\','*.tmp ',false,' '); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0'); RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте контрольные логи AVZ и RSIT по правилам. 1
Irbis73 Опубликовано 14 декабря, 2011 Автор Опубликовано 14 декабря, 2011 При выполнении 1 скрипта, после предупреждения об отключении сетевых подключений, выходит синий экран смерти и сразу перезагружается компьютер. Попытку повторил 2 раза. Карантийных файлов соответственно нет.
Irbis73 Опубликовано 15 декабря, 2011 Автор Опубликовано 15 декабря, 2011 Сделал проверку. Логи приложены. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt
Roman_Five Опубликовано 15 декабря, 2011 Опубликовано 15 декабря, 2011 не выполнили! Деинсталлируйте MBAM выполните скрипт в AVZ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\*.tmp',''); DeleteFileMask('C:\Documents and Settings\l.orlova\Application Data\','*.tmp ',false,' '); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Перезагрузка. повторите логи RSIT
Irbis73 Опубликовано 15 декабря, 2011 Автор Опубликовано 15 декабря, 2011 MBAM удалил через панель управления. Теперь его там нет. Установочной папки в c:\Program Files тоже нет. запустил скрипт. успел увидеть "stop tcpip /y", после чего вышел синий экран смерти и компьютер перезагрузился. Касперский в этот момент был выгружен. Файрвол не установлен. Новые логи приложены. info.txt log.txt
Roman_Five Опубликовано 15 декабря, 2011 Опубликовано 15 декабря, 2011 пофиксите в Hijackthis: O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) вручную удалите C:\Documents and Settings\l.orlova\Application Data\9.tmp avz- файл - стандартные скрипты - скрипт № 6 - выполнить сделайте новые логи RSIT
Irbis73 Опубликовано 15 декабря, 2011 Автор Опубликовано 15 декабря, 2011 пофиксил. файл удалил. скрип выполнил. новые логи приложены. info.txt log.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти