Tatiana P. 0 Опубликовано 15 сентября, 2013 Share Опубликовано 15 сентября, 2013 Собственно вопрос, троян обнаружен. Антивирус (KIS 2013) только ругается, на постоянное обращение других программ к зараженному файлу, как то так- browserdefender.dll Обнаружено: HEUR:Trojan.Win32.Generic 15.09.2013 15:23:02 C:\documents and settings\all users\application data\browserdefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\ или вот так dc2.exe Обнаружено: Trojan.Win32.Staser.fv 15.09.2013 14:40:40 C:\recycler\s-1-5-21-1960408961-1965331169-1801674531-1005\ но не в карантин их не помещает и не удаляет.. При попытке удалить вручную, "отсутствие прав доступа" (учетная запись с правами администратора). Помогите,пожалуйста! virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 15 сентября, 2013 Share Опубликовано 15 сентября, 2013 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\documents and settings\татьяна новый\application data\babsolution\shared\enhancednt.dll',''); QuarantineFile('c:\progra~1\browse~2\sprote~1.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe',''); DeleteService('BrowserDefendert'); QuarantineFile('c:\docume~1\alluse~1\applic~1\browse~1\261519~1.190\{c16c1~1\browse~1.dll',''); DeleteFile('c:\docume~1\alluse~1\applic~1\browse~1\261519~1.190\{c16c1~1\browse~1.dll','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\BrowserDefender\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe','32'); DeleteFile('c:\progra~1\browse~2\sprote~1.dll','32'); DeleteFileMask('C:\Documents and Settings\All Users\Application Data\BrowserDefender', '*', true); DeleteDirectory('C:\Documents and Settings\All Users\Application Data\BrowserDefender'); DeleteFileMask('c:\progra~1\browse~2', '*', true); DeleteDirectory('c:\progra~1\browse~2'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Tatiana P. 0 Опубликовано 15 сентября, 2013 Автор Share Опубликовано 15 сентября, 2013 Сделала кк сказали.Пришел вот такой ответ- Hello,This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order.bcqr00001.dat,bcqr00002.dat,BrowserDefender.exe,enhancednt.dll,sprote~1.dllNo malicious code were found in these files.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 15 сентября, 2013 Share Опубликовано 15 сентября, 2013 Ждем новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Tatiana P. 0 Опубликовано 15 сентября, 2013 Автор Share Опубликовано 15 сентября, 2013 новые логи virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 сентября, 2013 Share Опубликовано 15 сентября, 2013 приложите лог AdwCleaner http://safezone.cc/forum/showthread.php?t=22250 приложите лог полного сканирования MBAM http://safezone.cc/forum/showthread.php?t=16050 лог Hijackthis приложен старый. и вместо него по правилам требуется 2 лога RSIT Цитата Ссылка на сообщение Поделиться на другие сайты
Tatiana P. 0 Опубликовано 17 сентября, 2013 Автор Share Опубликовано 17 сентября, 2013 дополнение, новые файлы MBAM-log-2013-09-17 (07-34-06).txt AdwCleanerR0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 сентября, 2013 Share Опубликовано 17 сентября, 2013 запустите ещё раз MBAM на полную проверку и удалите всё, кроме: Объекты реестра обнаружены HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Д Обнаруженные файлы: C:\Program Files\FTDownloader.com\FLTextsetup.exe (Adware.Packed.Ranver) -> Действие не было предпринято. C:\Program Files\FTDownloader.com\FTDownloaderIE.exe (Adware.Packed.Ranver) -> Действие не было предпринято. новый лог приложите. После окончания работы MBAM запустите ещё раз AdwCleaner и после окончания поиска нажмите Clean новый лог приложите. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Tatiana P. 0 Опубликовано 17 сентября, 2013 Автор Share Опубликовано 17 сентября, 2013 как то так AdwCleanerS0.txt protection-log-2013-09-17.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 сентября, 2013 Share Опубликовано 17 сентября, 2013 лог MBAM не приложили после удаления... + лог Hijackthis приложен старый. и вместо него по правилам требуется 2 лога RSIT Цитата Ссылка на сообщение Поделиться на другие сайты
Tatiana P. 0 Опубликовано 17 сентября, 2013 Автор Share Опубликовано 17 сентября, 2013 так вроде protection-log-2013-09-17.txt и есть MBAN ? RSIT вот еще какой-то info.txt log.txt mbam-log-2013-09-17 (14-09-09).txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 сентября, 2013 Share Опубликовано 17 сентября, 2013 лог MBAM требовался после удаления практически всего, что там было найдено. ждём. Цитата Ссылка на сообщение Поделиться на другие сайты
Tatiana P. 0 Опубликовано 17 сентября, 2013 Автор Share Опубликовано 17 сентября, 2013 таки это он и был. Давайте чтоли заново поставлю проверять MBAMом и лог пришлю. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 сентября, 2013 Share Опубликовано 17 сентября, 2013 запустите ещё раз MBAM на полную проверку и удалите всё, кроме: Объекты реестра обнаружены HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Д Обнаруженные файлы: C:\Program Files\FTDownloader.com\FLTextsetup.exe (Adware.Packed.Ranver) -> Действие не было предпринято. C:\Program Files\FTDownloader.com\FTDownloaderIE.exe (Adware.Packed.Ranver) -> Действие не было предпринято. новый лог приложите. заново поставлю проверять MBAMом и лог пришлю между "проверять" и "пришлю" будет ещё стадия лечения. http://safezone.cc/forum/showpost.php?p=134172&postcount=2 Цитата Ссылка на сообщение Поделиться на другие сайты
Tatiana P. 0 Опубликовано 18 сентября, 2013 Автор Share Опубликовано 18 сентября, 2013 Понятно, что и лечить тоже . Что вышло прилагаю. Однако, в половине учетных записей при загрузке пропали ВСЕ иконки с рабочего стола.( запустите ещё раз MBAM на полную проверку и удалите всё, кроме: Объекты реестра обнаружены HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Д Обнаруженные файлы: C:\Program Files\FTDownloader.com\FLTextsetup.exe (Adware.Packed.Ranver) -> Действие не было предпринято. C:\Program Files\FTDownloader.com\FTDownloaderIE.exe (Adware.Packed.Ranver) -> Действие не было предпринято. новый лог приложите. заново поставлю проверять MBAMом и лог пришлю между "проверять" и "пришлю" будет ещё стадия лечения. http://safezone.cc/forum/showpost.php?p=134172&postcount=2 protection-log-2013-09-18.txt AdwCleanerR2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.