Вирус в системе ПК

[lange]

Добрый день!

 

Прошу опытных людей помочь в возникшей проблеме.

 

С уважением, lange

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

lange,

добро пожаловать на форум!

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

покажите лог полного сканирования MBAM

[lange]

Здравствуйте, Roman_Five!

 

Удалил остатки Kaspersky Virus Removal Tool в обычном режиме. К сожалению удалить в безопасном почему то не удалось.

 

С уважением.

mbam_log_2012_07_03__11_24_50_.txt

Изменено 3 июля, 2012 пользователем lange

[akoK]

О проблеме бы больше информации. Сейчас, что-то беспокоит?

[lange]

akoK, добрый день!

 

Вроде нет. Но хотел бы эту проблему закрыть.

[Roman_Five]

сделайте новые логи по правилам для контроля.

[lange]

Готово

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

в безопасном режиме удалите файлы

C:\Windows\system32\drivers\90619002.sys
C:\Windows\system32\drivers\90619001.sys

 

установите SP1 для Windows, IE 9 и все обновления на Windows

[lange]

Выполнил в безопасном. Расту над собой . Спасибо!

 

Пару дней понаблюдаю.

 

С уважением.

[akoK]

Для полного спокойствия: Рекомендации после удаления вредоносного ПО

[lange]

Добрый день!

 

Победу праздновал рано. Сегодня утилита AVZ снова обнаружила троян. При том, что никакие сомнительные сайты я прошедшие дни не посещал. Буду искренне благодарен специалисту, который поможет извести зверя.

 

С уважением, lange.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[icotonev]

Внимание ! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

 

Обновите базы AVZ и сделайте логи заново.

 

 

в безопасном режиме удалите файлы

C:\Windows\system32\drivers\90619002.sys
C:\Windows\system32\drivers\90619001.sys

 

установите SP1 для Windows, IE 9 и все обновления на Windows

 

Почему не выполнено?

[lange]

Установил SP1 и все обновления.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Tiare]

lange,

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Запускать от имени администратора.

begin
ClearQuarantine;
QuarantineFileF('%appdata%\Malwarebytes\Malwar~1\Quarantine', 'quar*.*', false, '', 0, 0);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Сегодня утилита AVZ снова обнаружила троян

о чем идет речь?

[lange]

Tiare, здравствуйте!

 

С большим трудом удалось просканировать ОС утилитой AVZ. Все ваши советы выполнены, Quarantine.zip отправлен.

 

Снова обнаружен троян:

 

Src=C:\Windows\System32\wdi\{67144949-5132-4859-8036-a737b43825d8}\{e4b0ae44-ec87-4f0e-8864-2cabfaad6759}\snapshot.etl

Infected=avz00001.dta

Virus=Подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1C9D22FA 1E621768 004D6E44 004D6E44 491520)

QDate=09.07.2012 18:03:56

Size=491520

MD5=42CD69083F7FB679A77E207CDB69ACD0

FileDate=06.07.2012 21:55:04

AVZVer=4.39

Attr=

MainAVBase=09.07.2012 4:00:04

x64=0

 

А так же:

 

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.4 Поиск маскировки процессов и драйверов

Маскировка процесса с PID=288, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 288)

Маскировка процесса с PID=388, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 388)

Маскировка процесса с PID=440, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 440)

Маскировка процесса с PID=880, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 880)

Маскировка процесса с PID=1220, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1220)

Маскировка процесса с PID=1392, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1392)

Маскировка процесса с PID=1940, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1940)

Маскировка процесса с PID=1468, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1468)

Маскировка процесса с PID=1508, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1508)

Маскировка процесса с PID=1964, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1964)

Маскировка процесса с PID=2068, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2068)

Маскировка процесса с PID=2136, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2136)

Маскировка процесса с PID=2276, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2276)

Маскировка процесса с PID=2320, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2320)

Маскировка процесса с PID=2416, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2416)

Маскировка процесса с PID=2468, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2468)

Маскировка процесса с PID=3240, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3240)

Маскировка процесса с PID=3316, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3316)

Маскировка процесса с PID=3476, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3476)

Маскировка процесса с PID=3604, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3604)

Маскировка процесса с PID=3808, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3808)

Маскировка процесса с PID=3936, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3936)

Маскировка процесса с PID=2116, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2116)

Маскировка процесса с PID=140, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 140)

Маскировка процесса с PID=272, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 272)