Алексей Н 8 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 Добрый день, сегодня KIS обнаружил троян Посмотрите, пожалуйста, логи, не осталось ли каких-нибудь хвостов virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 покажите содержимое файла C:\Users\Главный\AppData\Roaming\del.bat пофиксите в Hijackthis: O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; ClearHostsFile; QuarantineFile('C:\Windows\system32\DRIVERS\oem-drv64.sys',''); QuarantineFile('C:\Program Files (x86)\System Explorer\SystemExplorerService64.exe',''); QuarantineFile('C:\Windows\system32\xNtKrnl.exe',''); BC_ImportQuarantineList; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. + сделайте отчёт GSI http://forum.kasperskyclub.ru/index.php?showtopic=7611 Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Н 8 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 Отчет GSI http://www.getsysteminfo.com/read.php?file...39d0c6f0b20a99a Содержимое файла C:\Users\Главный\AppData\Roaming\del.bat: ping -n 6 -w 1000 127.0.0.1 cd /d C:\Users\EBE4~1\AppData\Local\Temp\is-9UFSV.tmp cd .. del /f /q _iu14D2N.tmp rd /s /q C:\Users\EBE4~1\AppData\Local\Temp\is-9UFSV.tmp cd /d C:\Users\Главный\AppData\Roaming del /f /q del.bat В Hijackthis пофиксил, указанный скрипт в AVZ сделать не удается, после запуска скрипта ,через пару секунд его выполнения, программа закрывается GetSystemInfo_MEGACOOL_User_2011_12_15_17_10_25.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 Содержимое файла C:\Users\Главный\AppData\Roaming\del.bat удалите файл деинсталлируйте несовместимое ПО - Spybot - Search & Destroy Очистите временные файлы Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. сделайте новый отчёт GSI Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Н 8 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 Отчет http://www.getsysteminfo.com/read.php?file...e392274b930d295 GetSystemInfo_MEGACOOL_User_2011_12_15_19_15_09.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 всё чисто. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.