Перейти к содержанию
Правила раздела

Win32/TrojanDownloader.Carberp.AD

Fifi

От Fifi
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\Documents and Settings\ADMIN\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
QuarantineFile('C:\Documents and Settings\ADMIN\Application Data\Microsoft Corporation\icwphost.2nl','');
DeleteFile('C:\Documents and Settings\ADMIN\Application Data\Microsoft Corporation\icwphost.2nl');
DeleteFile('C:\Documents and Settings\ADMIN\Главное меню\Программы\Автозагрузка\igfxtray.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysTray');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "По просьбе хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
Fifi Новичок

Fifi

Опубликовано
  • Автор
Опубликовано

Сообщаю полученный ответ:

 

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order.

 

igfxtray.exe - Trojan.Win32.Yakes.cde

 

At the moment this file is detected with the latest antivirus bases.

 

Best Regards, Kaspersky Lab

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

Новые логи прилагаю

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

 

C:\Program Files\adxo5blp.exe - что за файл?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      От Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      Антивирус его удаляет только с перезагрузкой, но каждый раз он появляется вновь 
    • Sweethome-2005
      Шифровальщик .DEEP (Win32.Phobos.vho)
      От Sweethome-2005
      Поймал шифровальщик. Вероятно влез через открытый проброс порта RDP на роутере.
      шифрованные файлы.rar Addition.rar FRST.rar
    • valeriithehuman
      [РЕШЕНО] троян win32/phonzy.b ml как удалить
      От valeriithehuman
      Скачивал контент, а вместо контента получил троян и много-много вирусов (с ними справился стандартный антивирус виндовс (надеюсь))
      Скачал файл, начал установку программы, антивирус сразу сбросил выполнение всех программ и начал очистку. После отчистки остался только этот троян.
      Все файлы, которые я скачал, были удалены антивирусом и мной в ручную
      заранее спасибо за помощь 
      CollectionLog-2024.02.07-19.14.zipShortcut.txtFRST.txtAddition.txt
    • Nucleus
      Работа с AlReader2.win32.ru
      От Nucleus
      Вчера, после обновления КАВ на Касперский стандарт пришлось удалять антивирус, так как он блокировал открытие страниц интернета, но суть вопроса не в этом.
      Читаю и редактирую электронные книги, формат книг ******.fb2.zip. То есть каждая книга хранится в архиве. До удаления касперского работа с файлами происходила в стандартном режиме, я использую Тотал Командер вместо Проводника, открываю fb2.zip двумя кликами, посмотрел и пытаюсь открыть следующий файл, находящийся в том же каталоге что и предыдущий файл. И вот тут появились различиия при открытии до и после удаления касперского.
      Если раньше при открытии книги ОС меня перемещала в директорию, где находился открытый файл, к примеру я открыл файл по такому адресу - D:\My Office\Documents\Alex&Books\М\Мarkys\301262 Сверхъестественное (СИ).fb2.zip то открытие другой книги через AlReader2 открывало тот же файл, и я переходил в каталог, который нужен.
      Теперь же, при открытии нового файла ОС перемещает не в ту же директорию, где находится файл электронной книги, а открывает во временной директории книги, распакованной из архива - C:\Tmp\_tc\Markys__Sverhestestvennoe_(SI)_LitLife.club_301262_original_9eb69.fb2
      А эта ситуация довольно неприятная, так как заново приходится перемещаться в каталог с библиотекой, и переоткрывать дополнительно несколько лишних каталогов.
      Вот и подошел к сути вопросов, почему AlReader2 поменял принцип открытия файлов после удаления антивируса Касперского.
    • Igor77
      (Расшифровано) Шифровальщик win32/sorikrypt
      От Igor77
      Доброго дня!
      Пойман шифровальщик, опознанный антивирусом от мелкософта как win32/sorikrypt. Предыстория появления: на компе для удаленной работы включен rdp, пользователи, как выяснилось, могли запускать браузер в rdp сеансе, соответственно скачивать и открывать файлы. В диспетчере задач запущено несколько процессов от левого пользователя (ранее не создавался) с правами администратора. Процессы прибил, пользователь был отключен. Зашифрованные файлы имеют расширение .CoV и тип CRYPTED! Ни один из доступных инструментов для расшифровки не помог.  Вредоносные файлы, какие нашел - в архиве virus.zip. Лог и FRST, образцы зашифрованных файлов и требование выкупа в архиве files.zip
      files.zip virus.zip
×
×
  • Создать...