UDS:DangerousObject.Multi.Generic

[lol1488]

Kaspersky Security Scan нашел следующее:

UDS:DangerousObject.Multi.Generic

24FC2AE369B.exe

c:\systemhost

 

Помогите справиться

 

Результат проверки AVZ в файле

Текстовый_документ.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи http://forum.kasperskyclub.ru/index.php?showtopic=31551

[Roman_Five]

+

когда будете делать новые логи AVZ, не забудьте обновить базы

Внимание ! База поcледний раз обновлялась 29.10.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

[lol1488]

После попытки установить Kaspersky Virus Removal Tool 2011 вылетает синий экран. Dr.Web CureIt! выдает ошибку 1722,но не сразу,успевает находить 2 угрозы C:\Documents and Settings\Admin\Application Data\poclbm\poclbm.exe(Tool.BtcMine.53) и C:\Program Files\BrowseToSave\sprotector.dll(Adware.BGuard.11)

В общем,помогите справиться с вирусом.

 

Сообщение от модератора Roman_Five

2 темы объединены.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Деинсталлируйте потенциально несовместимое ПО:

- Ask Toolbar

- BrowseToSave

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\system32\mwnusga.dll','');
QuarantineFile('C:\systemhost\24FC2AE369B.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\7\rpcserv.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\poclbm\t2.vbs','');
QuarantineFile('c:\progra~1\browse~1\sprote~1.dll','');
QuarantineFile('c:\documents and settings\admin\application data\poclbm\*.*','');
DeleteFileMask('c:\documents and settings\admin\application data\poclbm\','*.* ',true ,' ');
DeleteDirectory('c:\documents and settings\admin\application data\poclbm\',' ');
DeleteFile('c:\progra~1\browse~1\sprote~1.dll');
DeleteFile('C:\systemhost\24FC2AE369B.exe');
DeleteFile('c:\windows\system32\mwnusga.dll');
DelAutorunByFileName('c:\windows\system32\mwnusga.dll');
DelAutorunByFileName('c:\progra~1\browse~1\sprote~1.dll');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F4EXHWJWAUTNNZXBM');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - Startup: poclbm.lnk = C:\Documents and Settings\Admin\Application Data\poclbm\t2.vbs
O20 - AppInit_DLLs: c:\windows\system32\mwnusga.dll c:\progra~1\browse~1\sprote~1.dll

 

После проведённого лечения рекомендуется:

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

 

Сделайте новые логи по правилам.

когда будете делать новые логи AVZ, не забудьте обновить базы

+

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

Если не найдёт - вручную удалите файл C:\WINDOWS\system32\DRIVERS\7608458drv.sys

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

+

Покажите содержимое файлов

C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job

[lol1488]

Покажите содержимое файлов

C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job

Эм,в смысле?

Ответ.txt

MBAM_log_2013_03_25__20_40_54_.txt

[Roman_Five]

Удалите в MBAM только следующие объекты:

Обнаруженные ключи в реестре:  3
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено) 

Объекты реестра обнаружены:  1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.

Обнаруженные папки:  2
C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные файлы:  2
C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято.

После удаления откройте лог и прикрепите его к сообщению.

 

проверьте на virustotal.com файл

C:\WINDOWS\notepad.exe

ссылку на результат проверки приложите.

 

Эм,в смысле?

откройте те файлы в блокноте и запостите содержимое.

 

где остальные логи?