Обнаружен Trojan

[Алексей Н]

Добрый день, сегодня KIS обнаружил троян

Посмотрите, пожалуйста, логи, не осталось ли каких-нибудь хвостов

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[Roman_Five]

покажите содержимое файла

C:\Users\Главный\AppData\Roaming\del.bat

 

пофиксите в Hijackthis:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
QuarantineFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','');
QuarantineFile('C:\Program Files (x86)\System Explorer\SystemExplorerService64.exe','');
QuarantineFile('C:\Windows\system32\xNtKrnl.exe','');
BC_ImportQuarantineList;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

+

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?showtopic=7611

[Алексей Н]

Отчет GSI http://www.getsysteminfo.com/read.php?file...39d0c6f0b20a99a

Содержимое файла C:\Users\Главный\AppData\Roaming\del.bat:

ping -n 6 -w 1000 127.0.0.1
cd /d C:\Users\EBE4~1\AppData\Local\Temp\is-9UFSV.tmp
cd .. 
del /f /q _iu14D2N.tmp
rd /s /q C:\Users\EBE4~1\AppData\Local\Temp\is-9UFSV.tmp
cd /d C:\Users\Главный\AppData\Roaming
del /f /q del.bat

В Hijackthis пофиксил, указанный скрипт в AVZ сделать не удается, после запуска скрипта ,через пару секунд его выполнения, программа закрывается

GetSystemInfo_MEGACOOL_User_2011_12_15_17_10_25.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Содержимое файла C:\Users\Главный\AppData\Roaming\del.bat

удалите файл

 

деинсталлируйте несовместимое ПО - Spybot - Search & Destroy

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

сделайте новый отчёт GSI

[Алексей Н]

Отчет http://www.getsysteminfo.com/read.php?file...e392274b930d295

GetSystemInfo_MEGACOOL_User_2011_12_15_19_15_09.zip

[Roman_Five]

всё чисто.