не открывается сайт и не обновляются базы

[Dimga37]

не открывается сайт касперского,не обнлвляются базы кис13,и в браузерах реклама.сделал все логи. надеюсь на помощь

Сообщение от модератора Mark D. Pearlstone

Файл virusinfo_autoquarantine.zip удалён.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

проверьте на virustotal.com файлы:

C:\Windows\RControlServer.exe
C:\Windows\System32\spdifer_config.exe
C:\Windows\system32\ff_acm.acm

3 ссылки на результаты анализа приложите.

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\rcontrolserver.exe');
TerminateProcessByName('c:\windows\system32\catroot2\crss.exe');
QuarantineFile('C:\Windows\System32\spdifer_config.exe','');
QuarantineFile('C:\Windows\system32\ff_acm.acm','');
QuarantineFile('D:\Windows\system32\catroot2\crss.exe','Trojan.Siggen4.19462');
QuarantineFile('c:\windows\system32\catroot2\crss.exe','Trojan.Siggen4.19462');
QuarantineFile('C:\Windows\RControlServer.exe','');
DeleteFile('D:\Windows\system32\catroot2\crss.exe','32');
DeleteFile('C:\Windows\system32\catroot2\crss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lCQ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MCQ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomailru12.ru
O4 - HKLM\..\Run: [lCQ] "C:\Windows\system32\catroot2\crss.exe"
O4 - HKLM\..\Run: [MCQ] "D:\Windows\system32\catroot2\crss.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C7BE81B-FAA7-42AB-B8EE-5CD935880A77}: NameServer = 5.104.108.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{A70C363D-FA0C-499D-9EE5-D054E3892EBF}: NameServer = 5.104.108.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 5.104.108.204
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C7BE81B-FAA7-42AB-B8EE-5CD935880A77}: NameServer = 5.104.108.204
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C7BE81B-FAA7-42AB-B8EE-5CD935880A77}: NameServer = 5.104.108.204

Загрузившись в безопасном режиме, удалите остатки DrWeb CureIT! с помощью утилиты http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe

 

 

Сделайте новые логи по правилам.

 

 

 

[Dimga37]

https://www.virustotal.com/ru/file/7fe5324265cb8032562e2a7252ca8de5d0780c29359595bcb6f1a6f76fda1242/analysis/1379319027/

https://www.virustotal.com/ru/file/90283a90ea485704b9bb0355eafdd169b86aa61fadd77cb9765128fdb87e9663/analysis/1379319187/

https://www.virustotal.com/ru/file/6e5871bd831e5cf670b6099c9c24b39e371ad6d68ad89b0d6588dd7225d88548/analysis/1379319254/

 

Все сделал , проблема решена . Спасибо за помощь 

 

 

Ответ касперского:

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1] [KLAN-1050572745]
Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order.

bcqr00001.dat,
bcqr00002.dat,
bcqr00003.dat,
bcqr00004.dat,
ff_acm.acm,
spdifer_config.exe

No malicious code were found in these files.

bcqr00009.dat,
bcqr00010.dat,
crss.exe,
RControlServer.exe

These files are in process.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

когда придёт второй ответ от вирлаба - сообщите.

[Dimga37]

Второй ответ Касперских:

 

Hello,

"crss.exe_"     Trojan-Spy.Win32.Agent.ciil
"*"
"ff_acm.acm"    ok
"*"
"RControlServer.exe_"   ok
"*"
"spdifer_config.exe_"   ok
"*"
Regards, Ling Tu
Junior Virus Analyst

39A/3 Leningradskoe Shosse, Moscow, 125212, Russia  Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com

[Roman_Five]

RControlServer.exe - это что-то типа Remote Control

сами ставили?

 

в остальном чисто.

смените все важные пароли.

[Dimga37]

RControlServer.exe  это я ставил наверно удаленное управление компьютером через андроид.

спасибо огромное за помощь

[Mark D. Pearlstone]

Сообщение от модератора Mark D. Pearlstone

Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=41411&page=1&&do=findComment&comment=594582