Пью 0 Опубликовано 28 ноября, 2012 Share Опубликовано 28 ноября, 2012 На компе по недосмотру вышли в сеть с отключенным Kaspersky Crystal (сама версия 9.1.0.124), после чего, естественно, пришлось выковыривать то что комп подцепил. Было: Trojan-Spy.Win32.Carberp.sud Trojan.Script.Carberp.a Bacdor.Win32.Hlux.afp Kaspersky Crystal впоследствии был подключен, вирусня увиделась, но лечить пришлось специфической утилитой с этого сайта, сам Kaspersky Crystal справиться с бедой не мог. Вроде победили, но: браузер (Опера) постоянно лезет в адрес (который в заголовке темы). Прописывание этого адреса как запрещенного не очень помогает. Кэш чистил (впрочем, кэш и вообще содержимое IE не трогал т.к. не пользуюсь, перед написанием сюда на форум, заглянул в IE, что-то от Bacdor там прописалось. Пока не удаляю в видах более точной диагностики.) При старте системы, само по себе всегда стало открываться окно проводника в разделе Windows\System32, что подозрительно. (Система Win XP х32) И опять же при старте, на фоне заставки на долю секунды появляется небольшое черное окно с исполнением (по всей видимости) какой-то команды, рассмотреть кто это, не успевается. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 ноября, 2012 Share Опубликовано 28 ноября, 2012 Выполните правила Ссылка на сообщение Поделиться на другие сайты
Пью 0 Опубликовано 28 ноября, 2012 Автор Share Опубликовано 28 ноября, 2012 (изменено) Вот выполнено: А также - черное окно, выскакивающее при запуске, вроде как на cmd заканчивается virusinfo_syscheck.zip info.txt log.txt KL_syscure.zip Изменено 28 ноября, 2012 пользователем Пью Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 28 ноября, 2012 Share Опубликовано 28 ноября, 2012 Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); ClearHostsFile; QuarantineFile('C:\DOCUME~1\Yu-Yu\LOCALS~1\Temp\43218968FdOh',''); DeleteFile('C:\DOCUME~1\Yu-Yu\LOCALS~1\Temp\43218968FdOh'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','43219375'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению Логи RSIT делайте с подключенным интернетом. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве Смените все важные пароли, особенно от платежных систем сейчас, после окончания лечения смените пароли еще раз. Ссылка на сообщение Поделиться на другие сайты
Пью 0 Опубликовано 28 ноября, 2012 Автор Share Опубликовано 28 ноября, 2012 Вроде на этот раз все правильно должно быть: log2rsit.txt mbam_log_2012_11_28__16_45_34_.txt virusinfo_syscheck2.zip virusinfo_syscure2.zip Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 28 ноября, 2012 Share Опубликовано 28 ноября, 2012 DealBulldog ToolbarStartNow Toolbar Video Download Toolbar 2.2.0.0 Используете? Это разновидность Adware Если нет - желательно удалить штатным способом (через установку и удаление программ). После удаления (если решите не удалять тулбары - фикс не делайте) Пофиксите в HijackThis следующие строчки. Некоторые строки могут отсутствовать R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/videodownloadtoolbar/{FE26394F-9713-4CE4-BBE1-F8E017C503BD} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/videodownloadtoolbar/{FE26394F-9713-4CE4-BBE1-F8E017C503BD} R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\DealBulldog Toolbar\tbhelper.dll O2 - BHO: StartNow Toolbar Helper - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll O2 - BHO: Video Download Toolbar Intercept - {B29002A0-87A1-4DC4-AC55-5982034EB61E} - C:\PROGRA~1\VIDEOD~1\VIDEOD~1.DLL O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\DealBulldog Toolbar\tbcore3.dll O3 - Toolbar: StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll O3 - Toolbar: DealBulldog Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\DealBulldog Toolbar\tbcore3.dll - деинсталлируйте Malwarebytes' Anti-Malware - обновите Java до актуальной версии - обновите Adobe Flash Player до актуальной версии - обновите Adobe Reader до актуальной версии Проблемы есть? Ссылка на сообщение Поделиться на другие сайты
Пью 0 Опубликовано 28 ноября, 2012 Автор Share Опубликовано 28 ноября, 2012 DealBulldog ToolbarStartNow Toolbar Video Download Toolbar 2.2.0.0 Используете? Это разновидность Adware Нет, ни разу, возможно попала с установкой софта, который воткнули принудительно от провайдера при подключении к сети, или при устанвоке каких-то видеокодеков (K-Lite), на которые кстати при запуске Каспер ругался. В принципе, проблем более нет. (Черное окошко с cmd.exe перестало появляться после выполнения первого скрипта, написанного в сообщении - если это свидетельствовало о какой-то реальной проблеме). То что при старте проводник произвольно открывается в окошке WINDOWS\System32 - раз инструментальные методы показывают, что комп ничем не заражен, то придется терпеть. В любом случае, спасибо за помощь. Еще комп не выключается, если проводник не закрыть - KIS выгружается и далее дело не идет, закроешь проводник, второй раз выключить/перезагрузить - срабатывает. Обе нештатности (особенность при старте и при выключении) по всей видимости несущественны и выходят за рамки начатой темы в разделе борьбы с вирусами, но если кто подскажет где поискать решение, то это было бы хорошо. Контрольных точек не делалось, никогда не занимался восстановлением винды никакими средствами, там восстановление системы изначально выключено, и никакой замены этой задачи сторонним софтом на этом компе не предусмотрено. Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 28 ноября, 2012 Share Опубликовано 28 ноября, 2012 если тулбары удалили - повторите лог RSIT (не отключая интернет), посмотрим, нет ли хвостов. Насчет вашего вопроса - создайте тему в разделе "Компьютерная помощь". Кроме того, удалите из автозапуска лишние программы. Например, знакомо? O4 - HKCU\..\Run: [multifon.exe] "" /autostart Ссылка на сообщение Поделиться на другие сайты
Пью 0 Опубликовано 29 ноября, 2012 Автор Share Опубликовано 29 ноября, 2012 (изменено) Tiare Например, знакомо? O4 - HKCU\..\Run: [multifon.exe] "" /autostart Что-то смотрел-смотрел, не увидел где сидит этот кусок от мегафоновского модема (таки да, до неприличия много дряни оставляет в компе, удалял его хвосты как умел но не все заметил). Это оно? - : O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe Вообще, на данный момент винда по внешним признакам полностью нормализовалась, никаких подозрительных действий при старте, и выключаться стала по-штатному. Понравилось Видать, хвост какой-то удалил, значит (EasyCleaner-ом пошерстил как раз автозапуск, и какую-то мертвечину оттуда выпилил). На всякий случай лог RSIT прилагаю - может там еще лишнее есть. Судя по всему, adware влезло с кодеками, так может еще что-то можно удалить, там что-то с видео связано но я сам побаиваюсь удалять. Кстати, насчет актуального ПО - насколько я помню, у Adobe весь софт сейчас пригружен всякой фигнёй. Если память не изменяет, они кругом суют McAfee к примеру (его деятельность рядом с KIS как минимум странна, если я правильно понял), почему у меня и установлено всё древнее, пока оно было относительно чистое. Причем без этих милых дополнений их софт не становился, насколько мне помнится. В случае установки актуального, таки вынужденнно соглашаться на установку доп. компонентов и потом удалять их - вполне штатное решение, получается? log3rsit.txt Изменено 29 ноября, 2012 пользователем Пью Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 29 ноября, 2012 Share Опубликовано 29 ноября, 2012 Что-то смотрел-смотрел, не увидел где сидит этот кусок от мегафоновского модема (таки да, до неприличия много дряни оставляет в компе, удалял его хвосты как умел но не все заметил). Это оно? - :O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe нет, не трогайте. Того хвоста уже нет. Судя по всему, adware влезло с кодеками, так может еще что-то можно удалить, там что-то с видео связано но я сам побаиваюсь удалять. один из тулбаров установился с FLVPlayer4Free. При установке обращайте внимание, что идет "в нагрузку" ) удалите вручную C:\Documents and Settings\Yu-Yu\Application Data\Toolbar4 насчет обновления Адоб - галочку снимите Все чисто. Ссылка на сообщение Поделиться на другие сайты
Пью 0 Опубликовано 29 ноября, 2012 Автор Share Опубликовано 29 ноября, 2012 (изменено) Тулбар снес, за всю помощь спасибо Наверное, тему можно закрывать. Сообщение от модератора Tiare Проблема решена. Тема закрыта по просьбе топикстартера Изменено 29 ноября, 2012 пользователем Tiare Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения