Blood_Rain_X Опубликовано 1 февраля, 2014 Опубликовано 1 февраля, 2014 (изменено) Наткнулся на интересный вирус, скачав спам бот. Интересный, т.к. еще не видел, чтобы моим пк управляли из вне, курсор начал перемещаться сам по себе, открывать программы и т.д. Я сразу же тыкнул перезагрузку и теперь задерживаюсь в интернете только, чтобы написать сюда и в очередной раз надеюсь на вашу помощь Ссылка на скачивание вируса (!): удалено virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Изменено 1 февраля, 2014 пользователем thyrex
thyrex Опубликовано 1 февраля, 2014 Опубликовано 1 февраля, 2014 RMS - remote manipulator system удалите через Установку программ Пересоздайте ярлыки запуска браузеров Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('c:\windows\sppsvc.exe',''); DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.url','32'); DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите в HiJack O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) Сделайте новые логи
Blood_Rain_X Опубликовано 1 февраля, 2014 Автор Опубликовано 1 февраля, 2014 (изменено) Удалил RMS.Удалил ярлыки. Выполнил скрипт. Карантин отправил. Кстати, ссылка для отправки сейчас выглядит так https://my.kaspersky.com/ru/support/viruslab. Ответ KLAN-1380597208: bcqr00001.dat,bcqr00002.dat,sppsvc.exeNo malicious code has been found in these files.rutserv.exe - not-a-virus:RemoteAdmin.Win32.RMS.dThis file is already detected by our extended bases as a potentially risk program. See more info about extended databases here: http://www.kaspersky.com/extraavupdates Пофиксил.Новые логи: log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 1 февраля, 2014 пользователем Blood_Rain_X
mike 1 Опубликовано 1 февраля, 2014 Опубликовано 1 февраля, 2014 Здравствуйте! Закройте все программы Отключите - Антивирус и Файрвол Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\Алексей\AppData\Roaming\C4A5.exe',''); DeleteFile('C:\Users\Алексей\AppData\Roaming\C4A5.exe','32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsФайл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти