rutten 0 Опубликовано 27 ноября, 2013 Share Опубликовано 27 ноября, 2013 Здравствуйте! Недавно столкнулся с двумя проблемами: с поймал где-то вирус, который заменяет все файлы и папки на флешке на ярлыки, то есть делает все файлы невидимыми и системными и создает ярлыки с названиями этих файлов. С таким вирусом ранее сталкивался, думал быстро это дело исправить, но не тут-то было... Пока я додумался как удалить ярлыки (а они не удалялись, ибо ссылались на cmd), пока я удалил сам вирус (.exe, он тоже удалялся только в том случае, если я закрывал все Хост-процессы для задач Windows), в общем пока я почистил и восстановил флешку, вирус, по всей видимости, перекочевал на компьютер и теперь заражает все флешки этой гадостью. Я нашел файлы с этим вирусом в директории C:\Users\UserName\AppData\Roaming, удалил их и можно было спокойно вставлять флешку, компьютер ее не заражал, но стоило мне перезагрузить компьютер, как в этой же директории снова появилось 3 файла этого же вируса, но уже с другими именами (примеры: ABA.exe.gonewiththewings, c731200). В общем откуда они берутся... И вторая проблема: бороздя интернет в поисках решения, я заметил, что у меня не открывается сайт Антивируса Касперского и не обновляется база данных сигнатур моего антивируса ESET NOD32 ANTIVIRUS 5. Откуда берутся эти файлы, я без понятия... пытался найти, что их "генерирует", но все напрасно... может вы подскажите? =( virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 27 ноября, 2013 Share Опубликовано 27 ноября, 2013 может вы подскажите? =( обязательно подскажем! у Вас во время подготовки логов RSIT не загрузился с сети Hijackthis. скачайте его самостоятельно и сделайте лог. Ссылка на сообщение Поделиться на другие сайты
rutten 0 Опубликовано 27 ноября, 2013 Автор Share Опубликовано 27 ноября, 2013 Да, это то о чем я и говорил. На офф сайт HijackThis у меня не заходит, поэтому и наверное не скачало. Вот лог. hijackthis.log Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 27 ноября, 2013 Share Опубликовано 27 ноября, 2013 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; ClearHostsFile; TerminateProcessByName('c:\users\Артем\appdata\roaming\f49d.exe'); QuarantineFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe',''); QuarantineFile('C:\Windows\Installer\a8c54b5.msi',''); QuarantineFile('C:\System Volume Information\_restore{F27047C8-CD44-4D97-A9B3-D1D24D6DCA5F}\RP376\A0171446.exe',''); QuarantineFile('c:\progra~2\dxfmxo.exe',''); QuarantineFile('C:\Users\Артем\AppData\Roaming\ScreenSaverPro.scr',''); QuarantineFile('C:\Users\Артем\AppData\Roaming\Microsoft\Tiyeyx.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe',''); QuarantineFile('C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe',''); QuarantineFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe',''); QuarantineFile('c:\users\Артем\appdata\roaming\f49d.exe',''); DeleteFile('c:\users\Артем\appdata\roaming\f49d.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe','32'); DeleteFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe','32'); DeleteFile('C:\Users\Артем\AppData\Roaming\Microsoft\Tiyeyx.exe','32'); DeleteFile('C:\Users\Артем\AppData\Roaming\ScreenSaverPro.scr','32'); DeleteFile('c:\progra~2\dxfmxo.exe','32'); DeleteFile('C:\System Volume Information\_restore{F27047C8-CD44-4D97-A9B3-D1D24D6DCA5F}\RP376\A0171446.exe','32'); DeleteFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12h330'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','d3d30'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t0r1allsvu'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','n31335121'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','na0ss0121'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0123'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0124'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0125'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0126'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nafejh'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nafejh1'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0127'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tiyeyx'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','61658'); RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт:begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end.Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):O1 - Hosts: 67.211.196.141 ok.ru O1 - Hosts: 67.211.196.141 ok.ru O1 - Hosts: 67.211.196.141 m.ok.ru O1 - Hosts: xer O1 - Hosts: 67.211.196.141 ok.ru O1 - Hosts: 67.211.196.141 ok.ru O1 - Hosts: 67.211.196.141 m.ok.ru O1 - Hosts: xer O1 - Hosts: 67.211.196.141 ok.ru O1 - Hosts: 67.211.196.141 ok.ru O1 - Hosts: 67.211.196.141 m.ok.ru O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Артем\AppData\Roaming\ScreenSaverPro.scr O4 - HKCU\..\Run: [Tiyeyx] C:\Users\Артем\AppData\Roaming\Microsoft\Tiyeyx.exe O4 - HKCU\..\Run: [Adobe System Incorporated] C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe O4 - HKCU\..\Run: [t0r1allsvu] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe O4 - HKCU\..\Run: [nass0123] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe O4 - HKCU\..\Run: [nass0124] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe O4 - HKCU\..\Run: [nass0125] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe O4 - HKCU\..\Run: [nass0126] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe O4 - HKCU\..\Run: [nass0127] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe O4 - HKCU\..\Run: [12h330] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe O4 - HKCU\..\Run: [d3d30] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe O4 - HKCU\..\Run: [n31335121] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe O4 - HKCU\..\Run: [na0ss0121] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe O4 - HKCU\..\Run: [nafejh1] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe O4 - HKCU\..\Run: [nafejh] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe O4 - HKLM\..\Policies\Explorer\Run: [61658] c:\progra~2\dxfmxo.exe O4 - HKCU\..\Policies\Explorer\Run: [Windows Update] "C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe" -shell Сделайте новые логи по правилам. Ссылка на сообщение Поделиться на другие сайты
rutten 0 Опубликовано 27 ноября, 2013 Автор Share Опубликовано 27 ноября, 2013 Такой вопрос: на сайт Касперского не заходит, а значит и форму не открывает, что делать? как передать эти данные? У меня есть предположение, что если почистить эту папку C:\Windows\Prefetch, то я смогу зайти на сайт касперского. Но стоит ли мне это делать? Может я кину вам карантин, а вы кинете им на форму? Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 ноября, 2013 Share Опубликовано 28 ноября, 2013 если почистить эту папку C:\Windows\Prefetch, то я смогу зайти на сайт касперского не занимайтесь самолечением. чревато. делайте новые логи. Ссылка на сообщение Поделиться на другие сайты
rutten 0 Опубликовано 28 ноября, 2013 Автор Share Опубликовано 28 ноября, 2013 Вот virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt hijackthis.log Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 ноября, 2013 Share Опубликовано 28 ноября, 2013 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\progra~2\dxqwqhjud.exe'); TerminateProcessByName('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe'); QuarantineFile('C:\Users\Артем\AppData\Roaming\*.exe',''); QuarantineFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe',''); QuarantineFile('c:\progra~2\dxqwqhjud.exe',''); QuarantineFile(',C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe',''); QuarantineFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe',''); DeleteFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','32'); DeleteFile(',C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe','32'); DeleteFile('c:\progra~2\dxqwqhjud.exe','32'); DeleteFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t0r1allsvu'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','61658'); RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); DeleteFileMask('C:\Users\Артем\AppData\Roaming\','*.exe', false); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O4 - HKCU\..\Run: [t0r1allsvu] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe O4 - HKCU\..\Run: [Adobe System Incorporated] C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe O4 - HKLM\..\Policies\Explorer\Run: [61658] c:\progra~2\dxqwqhjud.exe Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь.Установите mbam-setup-<current number>.exeОткажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".Полученный лог прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
rutten 0 Опубликовано 28 ноября, 2013 Автор Share Опубликовано 28 ноября, 2013 Опять же, зайти на сайт Касперского, а значит и на форму, не могу. Поэтому кидаю архив с карантином сюда. Такой вопрос: я проверил систему Malwarebytes' Anti-Malware, нашло вроде 17 вредных объектов, но я сохранил только логи и ничего не предпринимал, мне осуществить "Удаление объектов" или просто закрыть программу? Сообщение от модератора Mark D. Pearlstone Файл Qurantine.zip удалён. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt MBAM-log-2013-11-28 (15-58-39).txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 ноября, 2013 Share Опубликовано 28 ноября, 2013 удалите в MBAM ТОЛЬКО это: Обнаруженные процессы в памяти: 2 C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> 2132 -> Действие не было предпринято. Обнаруженные модули в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные ключи в реестре: 3 HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято. HKCR\osnovi_html.eProtocol (Trojan.WebMoner) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rider_on_the_storm 1.00 (Trojan.Agent.VBS) -> Действие не было предпринято. Обнаруженные параметры в реестре: 5 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Adobe System Incorporated (Trojan.FakeAlert) -> Параметры: C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|t0r1allsvu (Worm.AutoRun.Gen) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe -> Действие не было предпринято. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Windows Update (Backdoor.PWin.Gen) -> Параметры: "C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe" -shell -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe -> Действие не было предпринято. Объекты реестра обнаружены: 2 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.AutoRun.Gen) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe) Хорошо: () -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято. Обнаруженные файлы: 21 C:\Users\Артем\AppData\Local\Temp\Adobe\Reader_sl.exe (Trojan.FakeAlert) -> Действие не было предпринято. C:\avz4\avz4\Quarantine\2013-11-27\avz00001.dta (Trojan.FakeAlert) -> Действие не было предпринято. C:\avz4\avz4\Quarantine\2013-11-27\avz00004.dta (Trojan.FakeAlert) -> Действие не было предпринято. C:\Users\Артем\AppData\Roaming\3B2B.exe.gonewiththewings (Trojan.FakeAlert) -> Действие не было предпринято. C:\Users\Артем\AppData\Roaming\3BCB.exe (Trojan.FakeAlert) -> Действие не было предпринято. C:\Users\Артем\AppData\Roaming\c731200 (Trojan.FakeAlert) -> Действие не было предпринято. c:\users\артем\appdata\roaming\identities\fiyeyj.exe (Trojan.FakeAlert) -> Действие не было предпринято. C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> Действие не было предпринято. Что такое у Вас moby duck ? эта прога нужна? если нет - удалите и это: C:\Program Files\moby duck\rider_on_the_storm (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\moby duck\rider_on_the_storm\froggi_noggi_topppi_nocci.bat (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\moby duck\rider_on_the_storm\ne_nu_ne_zraza_li.klm (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\moby duck\rider_on_the_storm\ne_nu_ne_zraza_li.vbs (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\moby duck\rider_on_the_storm\p0po9i8u7uy6yt5tr4re3ww2jfbgi50y38y92ffb8583vf9292fg38y4934g394fg293g39h4938973t47f983t94fy30ghj430tjg04hg9347f834.fff (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\moby duck\rider_on_the_storm\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\moby duck\rider_on_the_storm\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято. новый лог после перезагрузки приложите. Ссылка на сообщение Поделиться на другие сайты
rutten 0 Опубликовано 28 ноября, 2013 Автор Share Опубликовано 28 ноября, 2013 Логи как обычно все, или только лог MBAM ? Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 ноября, 2013 Share Опубликовано 28 ноября, 2013 пока MBAM. Ссылка на сообщение Поделиться на другие сайты
rutten 0 Опубликовано 28 ноября, 2013 Автор Share Опубликовано 28 ноября, 2013 вот Кстати, на сайт Касперского заходит!!! Но в папке C:\Users\Артем\AppData\Roaming присутствуют 2 екзешника, этот вирус насчет флешек. Извините, пожалуйста, но я не смогу Вам ответить последующие 2 часа, выбегаю на тренировку Отвечу сразу как приду, спасибо за все, что вы делаете =) mbam-log-2013-11-28 (14-34-56).txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 28 ноября, 2013 Share Опубликовано 28 ноября, 2013 C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> 2132 -> Удалить после перезагрузки системы. интересует лог MBAM после перезагрузки. папку удалите вручную C:\Program Files\moby duck\ + логи AVZ и RSIT Ссылка на сообщение Поделиться на другие сайты
rutten 0 Опубликовано 28 ноября, 2013 Автор Share Опубликовано 28 ноября, 2013 C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> 2132 -> Удалить после перезагрузки системы. проверил эту папку после перезагрузки с помощью MBAM. Она чистая, лог этой папки прикрепил к сообщению, как и логи AVZ и RSIT mbam-log-2013-11-28 (20-38-45).txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти