Просьба проверить логи

[Xenon]

У знакомой после "незащищенного контакта" ноутбука с "гулящей" флешкой, появилась зараза. А на съемных носителях после контакта с ноутом файлы и папки становились скрытыми и подмененены ярлыками.
В БР просканил Курейтом ноут и тот вроде вывел вредителя. Симптомы пропали.

Но просьба проверить логи AVZ и RSIT на остаточные явления...

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\Users\Татьяна Юрьевна\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\Татьяна Юрьевна\AppData\Roaming\Microsoft\Quwywo.exe','');
DeleteFile('C:\Users\Татьяна Юрьевна\AppData\Roaming\Microsoft\Quwywo.exe','32');
DeleteFile('C:\Users\Татьяна Юрьевна\appdata\roaming\screensaverpro.scr','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Quwywo');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Татьяна Юрьевна\AppData\Roaming\ScreenSaverPro.scr

Сделайте новые логи по правилам.

+

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

[Xenon]

Выполнил рекомендации и сделал новые логи.
Пофиксить в HijackThis не удалось, т.к. после AVZ там этого уже не было.

В вирлаб не посылал, т.к. архив с карантином почему-то пишет, что поврежден...

для Roman_Five:

Валер, могу скинуть его в ЛС тебе, если что. Может его Малвар при сканировании повредил? 

 

Изменено 30 ноября, 2013 пользователем Xenon

[Roman_Five]

архив мог быть пустым.

 

удалить в MBAM:

Обнаруженные файлы: 2
C:\drivers\addd.zip (PUP.Optional.BitCoinMiner) -> Действие не было предпринято.
C:\Users\Татьяна Юрьевна\AppData\Roaming\temp.bin (Trojan.Ransom) -> Действие не было предпринято.

новый лог приложить.

[Xenon]

Удалил, новый лог выкладываю...

 

[thyrex]

Что с проблемой?

[Xenon]

Что с проблемой?

Пока не наблюдается, хотелось бы чтобы хвостов не осталось

Изменено 2 декабря, 2013 пользователем Xenon

[thyrex]

Плохого в логах не видно больше

[Xenon]

@Roman_Five, @thyrex, спасибо за помощь!