lange 0 Опубликовано 2 июля, 2012 Share Опубликовано 2 июля, 2012 Добрый день! Прошу опытных людей помочь в возникшей проблеме. С уважением, lange virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 июля, 2012 Share Опубликовано 2 июля, 2012 lange, добро пожаловать на форум! Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи. http://support.kaspersky.ru/faq/?qid=208635705 Важно: выбирать AVP Tool Driver. покажите лог полного сканирования MBAM Цитата Ссылка на сообщение Поделиться на другие сайты
lange 0 Опубликовано 3 июля, 2012 Автор Share Опубликовано 3 июля, 2012 (изменено) Здравствуйте, Roman_Five! Удалил остатки Kaspersky Virus Removal Tool в обычном режиме. К сожалению удалить в безопасном почему то не удалось. С уважением. mbam_log_2012_07_03__11_24_50_.txt Изменено 3 июля, 2012 пользователем lange Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 3 июля, 2012 Share Опубликовано 3 июля, 2012 О проблеме бы больше информации. Сейчас, что-то беспокоит? Цитата Ссылка на сообщение Поделиться на другие сайты
lange 0 Опубликовано 3 июля, 2012 Автор Share Опубликовано 3 июля, 2012 akoK, добрый день! Вроде нет. Но хотел бы эту проблему закрыть. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 июля, 2012 Share Опубликовано 3 июля, 2012 сделайте новые логи по правилам для контроля. Цитата Ссылка на сообщение Поделиться на другие сайты
lange 0 Опубликовано 3 июля, 2012 Автор Share Опубликовано 3 июля, 2012 Готово virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 июля, 2012 Share Опубликовано 3 июля, 2012 в безопасном режиме удалите файлы C:\Windows\system32\drivers\90619002.sys C:\Windows\system32\drivers\90619001.sys установите SP1 для Windows, IE 9 и все обновления на Windows Цитата Ссылка на сообщение Поделиться на другие сайты
lange 0 Опубликовано 3 июля, 2012 Автор Share Опубликовано 3 июля, 2012 Выполнил в безопасном. Расту над собой . Спасибо! Пару дней понаблюдаю. С уважением. Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 3 июля, 2012 Share Опубликовано 3 июля, 2012 Для полного спокойствия: Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
lange 0 Опубликовано 6 июля, 2012 Автор Share Опубликовано 6 июля, 2012 Добрый день! Победу праздновал рано. Сегодня утилита AVZ снова обнаружила троян. При том, что никакие сомнительные сайты я прошедшие дни не посещал. Буду искренне благодарен специалисту, который поможет извести зверя. С уважением, lange. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 6 июля, 2012 Share Опубликовано 6 июля, 2012 Внимание ! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Обновите базы AVZ и сделайте логи заново. в безопасном режиме удалите файлы C:\Windows\system32\drivers\90619002.sys C:\Windows\system32\drivers\90619001.sys установите SP1 для Windows, IE 9 и все обновления на Windows Почему не выполнено? Цитата Ссылка на сообщение Поделиться на другие сайты
lange 0 Опубликовано 6 июля, 2012 Автор Share Опубликовано 6 июля, 2012 Установил SP1 и все обновления. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 9 июля, 2012 Share Опубликовано 9 июля, 2012 lange, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Запускать от имени администратора. begin ClearQuarantine; QuarantineFileF('%appdata%\Malwarebytes\Malwar~1\Quarantine', 'quar*.*', false, '', 0, 0); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сегодня утилита AVZ снова обнаружила троян о чем идет речь? Цитата Ссылка на сообщение Поделиться на другие сайты
lange 0 Опубликовано 9 июля, 2012 Автор Share Опубликовано 9 июля, 2012 Tiare, здравствуйте! С большим трудом удалось просканировать ОС утилитой AVZ. Все ваши советы выполнены, Quarantine.zip отправлен. Снова обнаружен троян: Src=C:\Windows\System32\wdi\{67144949-5132-4859-8036-a737b43825d8}\{e4b0ae44-ec87-4f0e-8864-2cabfaad6759}\snapshot.etl Infected=avz00001.dta Virus=Подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1C9D22FA 1E621768 004D6E44 004D6E44 491520) QDate=09.07.2012 18:03:56 Size=491520 MD5=42CD69083F7FB679A77E207CDB69ACD0 FileDate=06.07.2012 21:55:04 AVZVer=4.39 Attr= MainAVBase=09.07.2012 4:00:04 x64=0 А так же: 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Маскировка процесса с PID=288, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 288) Маскировка процесса с PID=388, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 388) Маскировка процесса с PID=440, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 440) Маскировка процесса с PID=880, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 880) Маскировка процесса с PID=1220, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1220) Маскировка процесса с PID=1392, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1392) Маскировка процесса с PID=1940, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1940) Маскировка процесса с PID=1468, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1468) Маскировка процесса с PID=1508, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1508) Маскировка процесса с PID=1964, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 1964) Маскировка процесса с PID=2068, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2068) Маскировка процесса с PID=2136, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2136) Маскировка процесса с PID=2276, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2276) Маскировка процесса с PID=2320, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2320) Маскировка процесса с PID=2416, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2416) Маскировка процесса с PID=2468, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2468) Маскировка процесса с PID=3240, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3240) Маскировка процесса с PID=3316, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3316) Маскировка процесса с PID=3476, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3476) Маскировка процесса с PID=3604, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3604) Маскировка процесса с PID=3808, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3808) Маскировка процесса с PID=3936, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3936) Маскировка процесса с PID=2116, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 2116) Маскировка процесса с PID=140, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 140) Маскировка процесса с PID=272, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 272) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.