Xenon 920 Опубликовано 29 ноября, 2013 Share Опубликовано 29 ноября, 2013 У знакомой после "незащищенного контакта" ноутбука с "гулящей" флешкой, появилась зараза. А на съемных носителях после контакта с ноутом файлы и папки становились скрытыми и подмененены ярлыками.В БР просканил Курейтом ноут и тот вроде вывел вредителя. Симптомы пропали. Но просьба проверить логи AVZ и RSIT на остаточные явления... Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 29 ноября, 2013 Share Опубликовано 29 ноября, 2013 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; QuarantineFile('C:\Users\Татьяна Юрьевна\AppData\Roaming\ScreenSaverPro.scr',''); QuarantineFile('C:\Users\Татьяна Юрьевна\AppData\Roaming\Microsoft\Quwywo.exe',''); DeleteFile('C:\Users\Татьяна Юрьевна\AppData\Roaming\Microsoft\Quwywo.exe','32'); DeleteFile('C:\Users\Татьяна Юрьевна\appdata\roaming\screensaverpro.scr','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Quwywo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт:begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end.Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Татьяна Юрьевна\AppData\Roaming\ScreenSaverPro.scr Сделайте новые логи по правилам.+ Скачайте Malwarebytes' Anti-Malware здесь или здесь.Установите mbam-setup-<current number>.exeОткажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".Полученный лог прикрепите к сообщению. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 30 ноября, 2013 Автор Share Опубликовано 30 ноября, 2013 (изменено) Выполнил рекомендации и сделал новые логи.Пофиксить в HijackThis не удалось, т.к. после AVZ там этого уже не было. В вирлаб не посылал, т.к. архив с карантином почему-то пишет, что поврежден... для Roman_Five: Валер, могу скинуть его в ЛС тебе, если что. Может его Малвар при сканировании повредил? Изменено 30 ноября, 2013 пользователем Xenon Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 1 декабря, 2013 Share Опубликовано 1 декабря, 2013 архив мог быть пустым. удалить в MBAM: Обнаруженные файлы: 2 C:\drivers\addd.zip (PUP.Optional.BitCoinMiner) -> Действие не было предпринято. C:\Users\Татьяна Юрьевна\AppData\Roaming\temp.bin (Trojan.Ransom) -> Действие не было предпринято. новый лог приложить. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 2 декабря, 2013 Автор Share Опубликовано 2 декабря, 2013 Удалил, новый лог выкладываю... Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 декабря, 2013 Share Опубликовано 2 декабря, 2013 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 2 декабря, 2013 Автор Share Опубликовано 2 декабря, 2013 (изменено) Что с проблемой? Пока не наблюдается, хотелось бы чтобы хвостов не осталось Изменено 2 декабря, 2013 пользователем Xenon Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 декабря, 2013 Share Опубликовано 2 декабря, 2013 Плохого в логах не видно больше 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 2 декабря, 2013 Автор Share Опубликовано 2 декабря, 2013 @Roman_Five, @thyrex, спасибо за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.