Нод32 нашел вирусы в оперативной памяти , но не удаляет

[Dimitri]

Здравия) Антививрус Нод32 нашел вирус в оперативной памяти, но сам не удаляет, делал сканирование мбамом и все что было им найдено я удалил, после перезагрузился

1.txt

mbam_log_2012_05_12__17_54_56_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 12 мая, 2012 пользователем Dimitri

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\Documents and Settings\123\Главное меню\Программы\Автозагрузка\949xBSvvUEI.exe','');
DeleteFile('C:\Documents and Settings\123\Главное меню\Программы\Автозагрузка\949xBSvvUEI.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16); 
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи, включая оба лога RSIT, а не один

[Dimitri]

Карантин отправил , жду ответа Браузеры по прежнему тупят, а гугл хром ели запускается приходится ждать долго

И еще в Хроме не меняется главная страница любую ставишь а все равно открывается http://home.webalta.ru эта страница

А вот и ответ пришел с Вирусной Лаборатории

 

Здравствуйте,

 

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

949xBSvvUEI.exe,

bcqr00001.dat,

bcqr00002.dat - Trojan-Spy.Win32.Carberp.leg

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского

1.txt

2.txt

Изменено 12 мая, 2012 пользователем Dimitri

[icotonev]

Выполните и этот скрипт в AVZ:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('C:\Documents and Settings\123\Application Data\EGVpXmh0mYeTUHH', '*.*', false, '', 0, 0);
QuarantineFileF('C:\Documents and Settings\123\Application Data\sNesHpPJVQV9Oh9', '*.*', false, '', 0, 0);
QuarantineFileF('C:\sNesHpPJVQV9Oh9', '*.*', false, '', 0, 0);
DeleteFile('C:\plg.txt');
DeleteFileMask('C:\sNesHpPJVQV9Oh9', '*.*', true);
DeleteFileMask('C:\Documents and Settings\123\Application Data\sNesHpPJVQV9Oh9', '*.*', true);
DeleteFileMask('C:\Documents and Settings\123\Application Data\EGVpXmh0mYeTUHH', '*.*', true);
DeleteDirectory('C:\sNesHpPJVQV9Oh9');
DeleteDirectory('C:\Documents and Settings\123\Application Data\sNesHpPJVQV9Oh9');
DeleteDirectory('C:\Documents and Settings\123\Application Data\EGVpXmh0mYeTUHH');
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

 

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/searchю
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

 

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!

Изменено 12 мая, 2012 пользователем icotonev

[Dimitri]

выкладываю новые логи, как вы и просили

hijackthis.log

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[icotonev]

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

 

Повторите сканирование в MBAM и удалите только следующие строки:

 

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.

 

 

Dimitri,что с проблемами?

Изменено 12 мая, 2012 пользователем icotonev

[Dimitri]

страничка в хроме стала менятся на другую , а то была webalta.ru, да и раньше после каждой команды комп думал минуту как минимум прежде чем браузер откроет эту страницу

 

Пришел только что ответ из Вирусной Лаборатории по поводу второго карантина:

 

949xBSvvUEI.exe,

bcqr00001.dat,

bcqr00002.dat - Trojan-Spy.Win32.Carberp.leg

klpclst.dat - Trojan.Script.Carberp.a

 

Логи мбама попозже выложу )

Изменено 12 мая, 2012 пользователем Dimitri