thyrex Опубликовано 23 февраля, 2014 Опубликовано 23 февраля, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\Documents and Settings\Admin\1090538.exe', 'MBAM: Trojan.Winlock'); QuarantineFile('C:\Documents and Settings\Admin\4208547.exe', 'MBAM: Trojan.FakeMS'); QuarantineFile('C:\Documents and Settings\Admin\4981338.exe', 'MBAM: Trojan.Ransom'); QuarantineFile('C:\Documents and Settings\Admin\6389323.exe', 'MBAM: Trojan.FakeMS'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\dllhost2.exe', 'MBAM: Trojan.Downloader.FC'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\svchost.exe', 'MBAM: Trojan.Downloader.FC'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\mainer_run.exe', 'MBAM: Trojan.Downloader.FC'); QuarantineFile('C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP57\A0023058.exe', 'MBAM: PUP.Optional.iDatix'); QuarantineFile('C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP62\A0025743.exe', 'MBAM: PUP.Optional.RuBar.A'); QuarantineFile('C:\WINDOWS\Cleanup.exe', 'MBAM: Trojan.Dropped'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\GEJwEKfHWwr.js', 'MBAM: PUP.Optional.BetterSmile.A'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\ULlbyRBPguzg.js', 'MBAM: PUP.Optional.BetterSmile.A'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\VqZDSdEHPLcmo.js', 'MBAM: PUP.Optional.BetterSmile.A'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\unzipme_miner-files.zip', 'MBAM: Malware.Trace'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\closer.exe', 'MBAM: PUP.Optional.Smilapp'); BC_ImportAll; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Удалите в МВАМ все, кроме Объекты реестра обнаружены: 4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. Обнаруженные папки: 5 C:\Documents and Settings\Admin\Application Data\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Documents and Settings\Admin\Application Data\OpenCandy\EE38FE280A12448086901258CC68AB32 (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Documents and Settings\Admin\Application Data\OpenCandy\OpenCandy_EE38FE280A12448086901258CC68AB32 (PUP.Optional.OpenCandy) -> Действие не было предпринято. Обнаруженные файлы: 48 C:\Program Files\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято. C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP57\A0023058.exe (PUP.Optional.iDatix) -> Действие не было предпринято. C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP62\A0025743.exe (PUP.Optional.RuBar.A) -> Действие не было предпринято. C:\WINDOWS\Cleanup.exe (Trojan.Dropped) -> Действие не было предпринято. C:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято. C:\WINDOWS\ResPatch\Clean.exe (Trojan.Dropped) -> Действие не было предпринято. D:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP97\A0034765.exe (RiskWare.Tool.HCK) -> Действие не было предпринято. D:\Программы\MediaGet.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. D:\Программы\pozhiznennaya_aktivaciya_dlya_NOD_32Unlimited_codNOD_32.rar (PUP.RiskWareTool.CK) -> Действие не было предпринято. D:\Программы\CorelDRAW Graphics Suite X3 (Официальная Русская Версия)\CorelDRAW Graphics Suite X3 (Официальная Русская Версия)\Crack\cdrsuitkg.exe (RiskWare.Tool.CK) -> Действие не было предпринято. D:\Программы\Sony Vegas 7.0a\Crack\Vegas7.exe (Trojan.Downloader) -> Действие не было предпринято. D:\Программы\Sony Vegas Pro 9.0_х32\Sony.Products.Multikeygen.v1.5.Keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято. D:\Программы\Total Commander 7.03 PowerPack 2.70 rus\Total Commander 7.03 PowerPack 2.70 Rus.exe (Malware.Packer.Gen) -> Действие не было предпринято. D:\Программы\ВЗЛОМ USB-Modem 3G\Проги и патчи\Программа ускоритель\SpeedConnect_Internet_Accelerator_8.0_Unattended.exe (PUP.SmsPay) -> Действие не было предпринято. D:\Программы\Феникс\Phoenix.exe (Backdoor.Bot) -> Действие не было предпринято. D:\Программы\Феникс\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Действие не было предпринято. D:\Программы\Феникс\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Действие не было предпринято. D:\Программы\Феникс\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Действие не было предпринято. D:\Программы\Феникс\Phx_data\Res\ss.exe (Backdoor.Bot) -> Действие не было предпринято. D:\Программы\PCStudio\keygen Pinnacle Studio Plus 9.3.5 Unlocker.exe (Hacktool.Gen) -> Действие не было предпринято.
max91 Опубликовано 24 февраля, 2014 Автор Опубликовано 24 февраля, 2014 ответ на "Запрос на исследование вредоносного файла": 1090538.exe,4208547.exe,4981338.exe,6389323.exe,A0023058.exe,A0025743.exe,bcqr00001.dat,bcqr00002.dat,bcqr00003.dat,bcqr00004.dat,bcqr00005.dat,bcqr00006.dat,bcqr00007.dat,bcqr00008.dat,bcqr00015.dat,bcqr00016.dat,bcqr00017.dat,bcqr00018.dat,bcqr00019.dat,bcqr00020.dat,bcqr00021.dat,bcqr00022.dat,bcqr00023.dat,bcqr00024.dat,bcqr00025.dat,bcqr00026.dat,Cleanup.exe,GEJwEKfHWwr.js,ULlbyRBPguzg.js,avz00014.dta.cgminer.conf,avz00014.dta.phatk121016Turksv2w128l4.bin,avz00014.dta.poclbm130302GeForce GTS 250v1w256l4.bin,avz00014.dta.poclbm130302Intel® HD Graphics 4000gv1w256l4.bin,VqZDSdEHPLcmo.jsЭти файлы находятся в процессе.bcqr00009.dat,bcqr00010.dat,bcqr00013.dat,bcqr00014.dat,dllhost2.exe,mainer_run.exe - Trojan-Downloader.Win32.Agent.ebksНовых вредоносных программ, находящихся в этих файлах. Обнаружение будут включены в следующем обновлении. Благодарю вас за вашу помощь.bcqr00011.dat,bcqr00012.dat,bcqr00029.dat,bcqr00030.dat,closer.exe,svchost.exe,avz00014.dta.diablo130302.cl,avz00014.dta.diakgcn121016.cl,avz00014.dta.libcurl.dll,avz00014.dta.libeay32.dll,avz00014.dta.libidn-11.dll,avz00014.dta.librtmp.dll,avz00014.dta.libssh2.dll,avz00014.dta.libusb-1.0.dll,avz00014.dta.phatk121016.cl,avz00014.dta.poclbm130302.cl,avz00014.dta.scrypt130302.cl,avz00014.dta.ssleay32.dll,avz00014.dta.zlib1.dllВредоносный код был найден в этих файлах.bcqr00027.dat,bcqr00028.dat,avz00014.dta.API.class - not-a-virus:NetTool.Win32.Sniffer.dz Хочу еще уточнить по поводу удаления в MBAM. Удалить все строки, кроме выше описанных?
mike 1 Опубликовано 24 февраля, 2014 Опубликовано 24 февраля, 2014 Удалить все строки, кроме выше описанных? Да.
max91 Опубликовано 24 февраля, 2014 Автор Опубликовано 24 февраля, 2014 Какие нибудь логи или инструкции еще потребуются?
mike 1 Опубликовано 24 февраля, 2014 Опубликовано 24 февраля, 2014 Новый лог полного сканирования MBAM после удаления записей.
max91 Опубликовано 25 февраля, 2014 Автор Опубликовано 25 февраля, 2014 Новый лог MBAM после удаления записей. mbam-log-2014-02-24 (10-11-46).txt
max91 Опубликовано 3 марта, 2014 Автор Опубликовано 3 марта, 2014 Да, больше адрес не менялся. Спасибо за помощь.
mike 1 Опубликовано 4 марта, 2014 Опубликовано 4 марта, 2014 Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Подробнее читайте в этом разделе форума поддержки утилиты.
max91 Опубликовано 13 марта, 2014 Автор Опубликовано 13 марта, 2014 После удаления записей слетела Windows, переустановил все нормально. SecurityCheck.txt
Roman_Five Опубликовано 13 марта, 2014 Опубликовано 13 марта, 2014 @max91, После удаления записей каких? Java 6 Update 26 v.6.0.260 Внимание! Скачать обновления^Удалите старую версию и установите новую (jre-7u51-windows-i586.exe)^ Opera 12.14 v.12.14.1738 Внимание! Скачать обновления^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
max91 Опубликовано 15 марта, 2014 Автор Опубликовано 15 марта, 2014 каких? После удаления записей в MBAM.
thyrex Опубликовано 15 марта, 2014 Опубликовано 15 марта, 2014 Не удалялось в МВАМ ничего критичного для системы Поэтому считаю это неудачным стечением обстоятельств 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти