Kasperky Crystal не палит с обновленными базами

[красноджан]

Касперский обновляется, все ок! Но вчера я запустил какой то .bat файл и у меня не которые сайты вообще не открывается, а некоторые открываются, но требуют подключить платную подписку на телефоне. Комп потупливает, проверял Rescue диском с обновленными базами, результат 0ой. Прошу помочь удалить, так как я не могу даже вконтакт зайти и файл HOSTS их 2 штуки один левый удалил, строчек там со сторонними ip нет

 

Да и Dr.web curit тож не видит, с полной проверкой 4 часа

Изменено 23 сентября, 2012 пользователем vpv

[Mark D. Pearlstone]

Порядок оформления запроса о помощи.

[красноджан]

Я ознакомился, сейчас попробую проделать такие действия утилитами, при этом касперский надо выключать?

 

Это можно вообще как небудь вылечить, я уже года 3 с вирусами не встречаля и не хочу :)

[Mark D. Pearlstone]

По ссылке всё написано.

[красноджан]

Вот логи

 

Я надеюсь, что надежда еще есть

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[icotonev]

Здравствуйте..!

 

• Отключите временно:

Антивирус/Файерволл

 

• Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('iexplore.exe','');
QuarantineFile('C:\Users\Святослав\Documents\Iterra\pomlpci.dll','');
DeleteFile('C:\Users\Святослав\Documents\Iterra\pomlpci.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

 

 

Внимание ! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

 

 

Обновите базы AVZ и сделайте логи заново.

Изменено 23 сентября, 2012 пользователем icotonev

[красноджан]

Доступ к сайтам теперь есть! Сейчас сделаю

 

вот логи

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab. Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

 

avp.com

 

Вредоносный код в файле не обнаружен.

 

pomlpci.dll

 

Файл в процессе обработки.

 

С уважением, Лаборатория Касперского

 

"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[icotonev]

Сообщение от модератора icotonev

Но почему вы не обновили базу данных снова?

 

Внимание ! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

 

 

Обновите базы AVZ и переделайте логи..!

 

+

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[красноджан]

ВОТ ЛОГИ С ОБНОВЛЕННЫМ AVZ

virusinfo_syscheck.zip

virusinfo_syscure.zip

[mike 1]

Забыли выполнить эту рекомендацию консультанта icotonev:

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Изменено 23 сентября, 2012 пользователем mike 1

[красноджан]

Не будет конфликтовать с Kaspersky Crystal

 

?

 

ПРОВЕРКА ТОЛЬКО НАЧАЛАСЬ, А УЖЕ 13 ОБЬЕКТОВИ ПРЕДОТВРАЩЕН ДОСТУП К ОПАСНОМУ САЙТУ

 

Лог

 

Прогу я удалил и вирусы найденные тоже

mbam_log_2012_09_23__22_45_09_.txt

[icotonev]

Повторите сканирование в MBAM и удалите только следующие строки:

 

HKCR\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\updatebho.TimerBHO.1 (PUP.Blabbers) -> Действие не было предпринято.
HKCR\updatebho.TimerBHO (PUP.Blabbers) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
C:\Users\Святослав\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar\Удалить Webalta Toolbar.lnk (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\Local Settings\Application Data\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\AppData\Local\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\AppData\Local\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\AppData\Local\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Святослав\AppData\Local\Webalta Toolbar\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято.

 

Прогу я удалил и вирусы найденные тоже

 

Я не помню, рекомендовал ето!

[thyrex]

+ пофиксите в HiJack

O4 - HKCU\..\Run: [8ae8c1712cdc44598a3aca77d1750789f2cb] iexplore.exe

[красноджан]

Профиксил, теперь я могу кликать и запускать ярлычки на рабочем столе, спасибо большое!

[Roman_Five]

сделайте новые логи RSIT