Irbis73 1 Опубликовано 5 декабря, 2011 Share Опубликовано 5 декабря, 2011 Добрый день! Предистория. Пользователь жалуется, что через некоторое время работы пропадает интернет. После перезагрузки все опять работает, но только некоторое время 30-60 минут. Обнаружил, что Касперский убивает во временной папке вирусы: Trojan-Downloader.Win32.Agent.torm Trojan.Win32.Jorik.IRCbot.efa Trojan.Win32.Jorik.Tedroo.dr Trojan-Dropper.Win32.Injector.adcz Похоже когда Касперский убивает вирус пропадает сетевое подключение. Сделал восстановление проводника с помощью команд AVZ - не помогло. Сделал проверку компьютера. Результат в приложенных файлах. Backup.zip - ключи реестра созданные AVZ. virusinfo_syscure.zip virusinfo_syscheck.zip avz.txt hijackthis.log Backup.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 декабря, 2011 Share Опубликовано 5 декабря, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\Mafofa.exe',''); DeleteFile('C:\Documents and Settings\l.orlova\Application Data\Mafofa.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mafofa'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. т.е. кроме логов AVZ ещё требуются логи RSIT перед созданием логов RSIT очистите временные файлы Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup-<current number>.exe Обновите базы. После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить"). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 7 декабря, 2011 Автор Share Опубликовано 7 декабря, 2011 Все сделал согласно инструкции. AVZ обнаружил подмену проводника - сделал восстановление. mbam подчистил вирусы. После этого работает стабильно. Ответа о вирусе пока не дождался. Спасибо! Одно не пойму, что означает "ошибка микропроцесса 385" при сканировании AVZ. virusinfo_syscure.zip virusinfo_syscheck.zip mbam_log_2011_12_06__12_08_20_.txt info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 7 декабря, 2011 Share Опубликовано 7 декабря, 2011 (изменено) Одно не пойму, что означает "ошибка микропроцесса 385" при сканировании AVZ. не обращайте внимания Удалите в MBAM: Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zaber0 (Worm.Dorkbot) -> Value: zaber0 -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,explorer.exe) Good: (Explorer.exe) -> No action taken. Зараженные файлы: c:\documents and settings\l.orlova\application data\D.tmp (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028841.exe (Trojan.Bmusic) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028853.exe (Trojan.Bmusic) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028862.exe (Trojan.Bmusic) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028906.exe (Trojan.Bmusic) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028913.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029139.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029147.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029157.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029167.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029177.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029185.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029193.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029202.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029212.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029268.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP203\A0029351.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP205\A0030503.exe (Trojan.Agent) -> No action taken. c:\documents and settings\l.orlova\application data\16.tmp (Trojan.Agent) -> No action taken. c:\documents and settings\l.orlova\application data\17.tmp (Trojan.Agent) -> No action taken. c:\documents and settings\l.orlova\application data\18.tmp (Trojan.Agent) -> No action taken. приложите новый отчёт. c:\program files\TrafInsp\Agent\trafinspag_tollbar.dll проверьте на virustotal.com ссылку приложите. Изменено 7 декабря, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 7 декабря, 2011 Автор Share Опубликовано 7 декабря, 2011 В MBAM удалил сразу. вот лог. c:\program files\TrafInsp\Agent\trafinspag_tollbar.dll - это агент трафик инспектора. mbam_log_2011_12_07__14_37_50_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 7 декабря, 2011 Share Опубликовано 7 декабря, 2011 Деинсталлируйте MBAM Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\*.tmp',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe',''); DeleteFileMask('C:\Documents and Settings\l.orlova\Application Data\','*.tmp ',false,' '); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0'); RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте контрольные логи AVZ и RSIT по правилам. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 14 декабря, 2011 Автор Share Опубликовано 14 декабря, 2011 При выполнении 1 скрипта, после предупреждения об отключении сетевых подключений, выходит синий экран смерти и сразу перезагружается компьютер. Попытку повторил 2 раза. Карантийных файлов соответственно нет. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 декабря, 2011 Share Опубликовано 14 декабря, 2011 Новые логи сделайте 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 Сделал проверку. Логи приложены. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 не выполнили! Деинсталлируйте MBAM выполните скрипт в AVZ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\*.tmp',''); DeleteFileMask('C:\Documents and Settings\l.orlova\Application Data\','*.tmp ',false,' '); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Перезагрузка. повторите логи RSIT Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 MBAM удалил через панель управления. Теперь его там нет. Установочной папки в c:\Program Files тоже нет. запустил скрипт. успел увидеть "stop tcpip /y", после чего вышел синий экран смерти и компьютер перезагрузился. Касперский в этот момент был выгружен. Файрвол не установлен. Новые логи приложены. info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 пофиксите в Hijackthis: O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) вручную удалите C:\Documents and Settings\l.orlova\Application Data\9.tmp avz- файл - стандартные скрипты - скрипт № 6 - выполнить сделайте новые логи RSIT Цитата Ссылка на сообщение Поделиться на другие сайты
Irbis73 1 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 пофиксил. файл удалил. скрип выполнил. новые логи приложены. info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 всё чисто. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.