Vdeg 4 Опубликовано 7 марта, 2012 Автор Share Опубликовано 7 марта, 2012 (изменено) Malwarebytes' Anti-Malware - деинсталлируйте. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: C:\WINDOWS\system32\drivers\cmeukmxe.sys C:\WINDOWS\system32\drivers\iwjenogc.sys C:\WINDOWS\system32\drivers\lztzhdqd.sys C:\WINDOWS\system32\drivers\mbiszgen.sys C:\WINDOWS\system32\drivers\qzwjguou.sys C:\WINDOWS\system32\drivers\tjewenya.sys Driver:: cmeukmxe iwjenogc lztzhdqd mbiszgen qzwjguou tjewenya Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Все обновления на Windows установлены? Malwarebytes' Anti-Malware с компа удалил. Обновления MS Windows установлены все. А имя тестового файла должно быть именно CFScript.txt ? Я сначала присвоил файлу другое имя, кинул его на пиктограмму ComboFix.exe, но выдалось такое сообщение http://vdeg.org.ru/misc/png/CFScript.png , после чего окно ComboFix.exe закрывается и никакого отчёта не создаётся Изменено 7 марта, 2012 пользователем Vdeg Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 7 марта, 2012 Share Опубликовано 7 марта, 2012 А имя тестового файла должно быть именно CFScript.txt ? да. после чего окно ComboFix.exe закрывается и никакого отчёта не создаётся перезагружаться пробовали? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Vdeg 4 Опубликовано 7 марта, 2012 Автор Share Опубликовано 7 марта, 2012 перезагружаться пробовали? Нет, но после переименования файла в CFScript.txt.txt удалось "натравить" на него ComboFix.exe. Новый лог работы ComboFix во вложении. Рекомендую исправить в помощью AVZ - меню "Файл\Мастер поиска и устранения проблем" (это серьезная уязвимость для вашей системы) Спасибо, исправил ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 7 марта, 2012 Share Опубликовано 7 марта, 2012 Запакуйте папку C:\Qoobox\Quarantine\ с паролем virus через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Запустил, дождался появления кнопки Scan (я так понял, что утилита завершила работу?) и нажал Save Повторите лог GMER Нажмите на кнопку Scan и дождитесь окончания проверки + повторите лог RSIT Цитата Ссылка на сообщение Поделиться на другие сайты
Vdeg 4 Опубликовано 7 марта, 2012 Автор Share Опубликовано 7 марта, 2012 (изменено) Запакуйте папку C:\Qoobox\Quarantine\ с паролем virus через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. AddRemove-Новый Бармалей.reg.dat, BHO-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat, catchme.log, Service_cmeukmxe.reg.dat, Service_iwjenogc.reg.dat, Service_lztzhdqd.reg.dat, Service_mbiszgen.reg.dat, Service_qzwjguou.reg.dat, Service_tjewenya.reg.dat, tcpip.reg, Toolbar-{91397D20-1446-11D4-8AF4-0040CA1127B6}.reg.dat, Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat, Toolbar-Locked.reg.dat, WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat Файлы в процессе обработки. BCBSMP35.BPL.vir, IsUn0419.exe.vir Вредоносный код в файлах не обнаружен. catchme.txt Файл нулевой длины. С уважением, Лаборатория Касперского Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Повторите лог GMER ComboFix удалил по Вашей инструкции. OTCleanIt скачал, запустил, нажал Clean up, комп ушёл на перезагрузку. GMER запустил, и почти сразу после начала сканирования высветилась красная строка : http://vdeg.org.ru/misc/png/hidden_module_gmer.png Сейчас вот появилась вот эта надпись : http://vdeg.org.ru/misc/png/hidden_module_gmer2.png Изменено 7 марта, 2012 пользователем Vdeg Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 7 марта, 2012 Share Опубликовано 7 марта, 2012 GMER запустил, и почти сразу после начала сканирования высветилась красная строка : http://vdeg.org.ru/misc/png/hidden_module_gmer.png внимательно прочитайте еще раз Цитата Ссылка на сообщение Поделиться на другие сайты
Vdeg 4 Опубликовано 7 марта, 2012 Автор Share Опубликовано 7 марта, 2012 (изменено) Вот новые логи GMER и RSIT. gmer2.log info.txt log.txt Изменено 7 марта, 2012 пользователем Vdeg Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 7 марта, 2012 Share Опубликовано 7 марта, 2012 Пофиксите в HijackThis следующие строчки. O2 - BHO: (no name) - AutorunsDisabled - (no file) Знакомо? Если нет, покажите содержимое (файл - ПКМ - свойства) ======Папка назначеных зданий====== C:\WINDOWS\tasks\MP Scheduled Scan.job C:\WINDOWS\tasks\MpIdleTask.job C:\RootRepeal report 03-07-12 (17-11-06).txt отчет прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Vdeg 4 Опубликовано 7 марта, 2012 Автор Share Опубликовано 7 марта, 2012 C:\RootRepeal report 03-07-12 (17-11-06).txt отчет прикрепите. Этот файл содержит только строку ==EOF== Пофиксите в HijackThis следующие строчки. O2 - BHO: (no name) - AutorunsDisabled - (no file) Знакомо? Строку "BHO AutorunsDisabled " пофиксил. покажите содержимое (файл - ПКМ - свойства) Там запускаются "C:\Program Files\Microsoft Security Client\Antimalware\MpCmdRun.exe" Scan -ScheduleJob -WinTask -RestrictPrivilegesScan и "C:\Program Files\Microsoft Security Client\Antimalware\MpCmdRun.exe" -IdleTask -TaskName MpIdleTask Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 7 марта, 2012 Share Опубликовано 7 марта, 2012 (изменено) Деинсталлируйте Gmer, запустите C:\WINDOWS\gmer_uninstall.cmd Запустите OTCleanIt, запустите, нажмите Clean up Как будет возможность удалите остатки AVP Tool driver в безопасном режиме. Удалите остатки Kaspersky Virus Removal Tool с помощью этой утилиты. Выбирайте удаление AVP Tool driver Изменено 7 марта, 2012 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
Vdeg 4 Опубликовано 7 марта, 2012 Автор Share Опубликовано 7 марта, 2012 Деинсталлируйте Gmer, запустите C:\WINDOWS\gmer_uninstall.cmd А нет такого файла... на всём жестком диске нет. Запустите OTCleanIt, запустите, нажмите Clean up Выполнено. Цитата Ссылка на сообщение Поделиться на другие сайты
Vdeg 4 Опубликовано 8 марта, 2012 Автор Share Опубликовано 8 марта, 2012 (изменено) Сейчас вот появилась вот эта надпись : http://vdeg.org.ru/misc/png/hidden_module_gmer2.png С помощью GMER я выгрузил этот скрытый модуль в файл (длиной 24576 байт). Может ли этот файл пригодиться для анализа ? На всякий случай отправил этот файл через форму http://support.kaspersky.ru/virlab/helpdesk.html Изменено 8 марта, 2012 пользователем Vdeg Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 8 марта, 2012 Share Опубликовано 8 марта, 2012 отправьте его в вирлаб через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Vdeg 4 Опубликовано 8 марта, 2012 Автор Share Опубликовано 8 марта, 2012 Полученный ответ сообщите в этой теме. Пока пришло только вот это : Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. dump_hidden_module Файл в процессе обработки. С уважением, Лаборатория Касперского Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 8 марта, 2012 Share Опубликовано 8 марта, 2012 С помощью GMER я выгрузил этот скрытый модуль в файл (длиной 24576 байт). Может ли этот файл пригодиться для анализа ? проверьте на вирустотал, ссылку приложите. Больше ответов по ранее отправленному карантину не приходило? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.