Dimga37 0 Опубликовано 15 сентября, 2013 Share Опубликовано 15 сентября, 2013 не открывается сайт касперского,не обнлвляются базы кис13,и в браузерах реклама.сделал все логи. надеюсь на помощь Сообщение от модератора Mark D. Pearlstone Файл virusinfo_autoquarantine.zip удалён. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 сентября, 2013 Share Опубликовано 16 сентября, 2013 проверьте на virustotal.com файлы: C:\Windows\RControlServer.exe C:\Windows\System32\spdifer_config.exe C:\Windows\system32\ff_acm.acm 3 ссылки на результаты анализа приложите. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\rcontrolserver.exe'); TerminateProcessByName('c:\windows\system32\catroot2\crss.exe'); QuarantineFile('C:\Windows\System32\spdifer_config.exe',''); QuarantineFile('C:\Windows\system32\ff_acm.acm',''); QuarantineFile('D:\Windows\system32\catroot2\crss.exe','Trojan.Siggen4.19462'); QuarantineFile('c:\windows\system32\catroot2\crss.exe','Trojan.Siggen4.19462'); QuarantineFile('C:\Windows\RControlServer.exe',''); DeleteFile('D:\Windows\system32\catroot2\crss.exe','32'); DeleteFile('C:\Windows\system32\catroot2\crss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lCQ'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MCQ'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomailru12.ru O4 - HKLM\..\Run: [lCQ] "C:\Windows\system32\catroot2\crss.exe" O4 - HKLM\..\Run: [MCQ] "D:\Windows\system32\catroot2\crss.exe" O17 - HKLM\System\CCS\Services\Tcpip\..\{0C7BE81B-FAA7-42AB-B8EE-5CD935880A77}: NameServer = 5.104.108.204 O17 - HKLM\System\CCS\Services\Tcpip\..\{A70C363D-FA0C-499D-9EE5-D054E3892EBF}: NameServer = 5.104.108.204 O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 5.104.108.204 O17 - HKLM\System\CS1\Services\Tcpip\..\{0C7BE81B-FAA7-42AB-B8EE-5CD935880A77}: NameServer = 5.104.108.204 O17 - HKLM\System\CS2\Services\Tcpip\..\{0C7BE81B-FAA7-42AB-B8EE-5CD935880A77}: NameServer = 5.104.108.204 Загрузившись в безопасном режиме, удалите остатки DrWeb CureIT! с помощью утилиты http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe Сделайте новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
Dimga37 0 Опубликовано 16 сентября, 2013 Автор Share Опубликовано 16 сентября, 2013 https://www.virustotal.com/ru/file/7fe5324265cb8032562e2a7252ca8de5d0780c29359595bcb6f1a6f76fda1242/analysis/1379319027/ https://www.virustotal.com/ru/file/90283a90ea485704b9bb0355eafdd169b86aa61fadd77cb9765128fdb87e9663/analysis/1379319187/ https://www.virustotal.com/ru/file/6e5871bd831e5cf670b6099c9c24b39e371ad6d68ad89b0d6588dd7225d88548/analysis/1379319254/ Все сделал , проблема решена . Спасибо за помощь Ответ касперского: Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1] [KLAN-1050572745]Hello,This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order.bcqr00001.dat,bcqr00002.dat,bcqr00003.dat,bcqr00004.dat,ff_acm.acm,spdifer_config.exeNo malicious code were found in these files.bcqr00009.dat,bcqr00010.dat,crss.exe,RControlServer.exeThese files are in process.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 сентября, 2013 Share Опубликовано 16 сентября, 2013 когда придёт второй ответ от вирлаба - сообщите. Цитата Ссылка на сообщение Поделиться на другие сайты
Dimga37 0 Опубликовано 17 сентября, 2013 Автор Share Опубликовано 17 сентября, 2013 Второй ответ Касперских: Hello,"crss.exe_" Trojan-Spy.Win32.Agent.ciil"*""ff_acm.acm" ok"*""RControlServer.exe_" ok"*""spdifer_config.exe_" ok"*"Regards, Ling TuJunior Virus Analyst39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 сентября, 2013 Share Опубликовано 17 сентября, 2013 RControlServer.exe - это что-то типа Remote Control сами ставили? в остальном чисто. смените все важные пароли. Цитата Ссылка на сообщение Поделиться на другие сайты
Dimga37 0 Опубликовано 17 сентября, 2013 Автор Share Опубликовано 17 сентября, 2013 RControlServer.exe это я ставил наверно удаленное управление компьютером через андроид. спасибо огромное за помощь Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 18 сентября, 2013 Share Опубликовано 18 сентября, 2013 Сообщение от модератора Mark D. Pearlstone Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=41411&page=1&&do=findComment&comment=594582 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.