thyrex 1 468 Опубликовано 23 февраля, 2014 Share Опубликовано 23 февраля, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\Documents and Settings\Admin\1090538.exe', 'MBAM: Trojan.Winlock'); QuarantineFile('C:\Documents and Settings\Admin\4208547.exe', 'MBAM: Trojan.FakeMS'); QuarantineFile('C:\Documents and Settings\Admin\4981338.exe', 'MBAM: Trojan.Ransom'); QuarantineFile('C:\Documents and Settings\Admin\6389323.exe', 'MBAM: Trojan.FakeMS'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\dllhost2.exe', 'MBAM: Trojan.Downloader.FC'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\svchost.exe', 'MBAM: Trojan.Downloader.FC'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\mainer_run.exe', 'MBAM: Trojan.Downloader.FC'); QuarantineFile('C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP57\A0023058.exe', 'MBAM: PUP.Optional.iDatix'); QuarantineFile('C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP62\A0025743.exe', 'MBAM: PUP.Optional.RuBar.A'); QuarantineFile('C:\WINDOWS\Cleanup.exe', 'MBAM: Trojan.Dropped'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\GEJwEKfHWwr.js', 'MBAM: PUP.Optional.BetterSmile.A'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\ULlbyRBPguzg.js', 'MBAM: PUP.Optional.BetterSmile.A'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\smwdgt\VqZDSdEHPLcmo.js', 'MBAM: PUP.Optional.BetterSmile.A'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\unzipme_miner-files.zip', 'MBAM: Malware.Trace'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\closer.exe', 'MBAM: PUP.Optional.Smilapp'); BC_ImportAll; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Удалите в МВАМ все, кроме Объекты реестра обнаружены: 4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. Обнаруженные папки: 5 C:\Documents and Settings\Admin\Application Data\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Documents and Settings\Admin\Application Data\OpenCandy\EE38FE280A12448086901258CC68AB32 (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Documents and Settings\Admin\Application Data\OpenCandy\OpenCandy_EE38FE280A12448086901258CC68AB32 (PUP.Optional.OpenCandy) -> Действие не было предпринято. Обнаруженные файлы: 48 C:\Program Files\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято. C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP57\A0023058.exe (PUP.Optional.iDatix) -> Действие не было предпринято. C:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP62\A0025743.exe (PUP.Optional.RuBar.A) -> Действие не было предпринято. C:\WINDOWS\Cleanup.exe (Trojan.Dropped) -> Действие не было предпринято. C:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято. C:\WINDOWS\ResPatch\Clean.exe (Trojan.Dropped) -> Действие не было предпринято. D:\System Volume Information\_restore{876C4833-6243-4C92-B684-DBD6D1B289A0}\RP97\A0034765.exe (RiskWare.Tool.HCK) -> Действие не было предпринято. D:\Программы\MediaGet.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. D:\Программы\pozhiznennaya_aktivaciya_dlya_NOD_32Unlimited_codNOD_32.rar (PUP.RiskWareTool.CK) -> Действие не было предпринято. D:\Программы\CorelDRAW Graphics Suite X3 (Официальная Русская Версия)\CorelDRAW Graphics Suite X3 (Официальная Русская Версия)\Crack\cdrsuitkg.exe (RiskWare.Tool.CK) -> Действие не было предпринято. D:\Программы\Sony Vegas 7.0a\Crack\Vegas7.exe (Trojan.Downloader) -> Действие не было предпринято. D:\Программы\Sony Vegas Pro 9.0_х32\Sony.Products.Multikeygen.v1.5.Keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято. D:\Программы\Total Commander 7.03 PowerPack 2.70 rus\Total Commander 7.03 PowerPack 2.70 Rus.exe (Malware.Packer.Gen) -> Действие не было предпринято. D:\Программы\ВЗЛОМ USB-Modem 3G\Проги и патчи\Программа ускоритель\SpeedConnect_Internet_Accelerator_8.0_Unattended.exe (PUP.SmsPay) -> Действие не было предпринято. D:\Программы\Феникс\Phoenix.exe (Backdoor.Bot) -> Действие не было предпринято. D:\Программы\Феникс\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Действие не было предпринято. D:\Программы\Феникс\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Действие не было предпринято. D:\Программы\Феникс\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Действие не было предпринято. D:\Программы\Феникс\Phx_data\Res\ss.exe (Backdoor.Bot) -> Действие не было предпринято. D:\Программы\PCStudio\keygen Pinnacle Studio Plus 9.3.5 Unlocker.exe (Hacktool.Gen) -> Действие не было предпринято. Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 24 февраля, 2014 Автор Share Опубликовано 24 февраля, 2014 ответ на "Запрос на исследование вредоносного файла": 1090538.exe,4208547.exe,4981338.exe,6389323.exe,A0023058.exe,A0025743.exe,bcqr00001.dat,bcqr00002.dat,bcqr00003.dat,bcqr00004.dat,bcqr00005.dat,bcqr00006.dat,bcqr00007.dat,bcqr00008.dat,bcqr00015.dat,bcqr00016.dat,bcqr00017.dat,bcqr00018.dat,bcqr00019.dat,bcqr00020.dat,bcqr00021.dat,bcqr00022.dat,bcqr00023.dat,bcqr00024.dat,bcqr00025.dat,bcqr00026.dat,Cleanup.exe,GEJwEKfHWwr.js,ULlbyRBPguzg.js,avz00014.dta.cgminer.conf,avz00014.dta.phatk121016Turksv2w128l4.bin,avz00014.dta.poclbm130302GeForce GTS 250v1w256l4.bin,avz00014.dta.poclbm130302Intel® HD Graphics 4000gv1w256l4.bin,VqZDSdEHPLcmo.jsЭти файлы находятся в процессе.bcqr00009.dat,bcqr00010.dat,bcqr00013.dat,bcqr00014.dat,dllhost2.exe,mainer_run.exe - Trojan-Downloader.Win32.Agent.ebksНовых вредоносных программ, находящихся в этих файлах. Обнаружение будут включены в следующем обновлении. Благодарю вас за вашу помощь.bcqr00011.dat,bcqr00012.dat,bcqr00029.dat,bcqr00030.dat,closer.exe,svchost.exe,avz00014.dta.diablo130302.cl,avz00014.dta.diakgcn121016.cl,avz00014.dta.libcurl.dll,avz00014.dta.libeay32.dll,avz00014.dta.libidn-11.dll,avz00014.dta.librtmp.dll,avz00014.dta.libssh2.dll,avz00014.dta.libusb-1.0.dll,avz00014.dta.phatk121016.cl,avz00014.dta.poclbm130302.cl,avz00014.dta.scrypt130302.cl,avz00014.dta.ssleay32.dll,avz00014.dta.zlib1.dllВредоносный код был найден в этих файлах.bcqr00027.dat,bcqr00028.dat,avz00014.dta.API.class - not-a-virus:NetTool.Win32.Sniffer.dz Хочу еще уточнить по поводу удаления в MBAM. Удалить все строки, кроме выше описанных? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 февраля, 2014 Share Опубликовано 24 февраля, 2014 Удалить все строки, кроме выше описанных? Да. Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 24 февраля, 2014 Автор Share Опубликовано 24 февраля, 2014 Какие нибудь логи или инструкции еще потребуются? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 февраля, 2014 Share Опубликовано 24 февраля, 2014 Новый лог полного сканирования MBAM после удаления записей. Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 25 февраля, 2014 Автор Share Опубликовано 25 февраля, 2014 Новый лог MBAM после удаления записей. mbam-log-2014-02-24 (10-11-46).txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 февраля, 2014 Share Опубликовано 25 февраля, 2014 Проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 3 марта, 2014 Автор Share Опубликовано 3 марта, 2014 Да, больше адрес не менялся. Спасибо за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 4 марта, 2014 Share Опубликовано 4 марта, 2014 Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Подробнее читайте в этом разделе форума поддержки утилиты. Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 13 марта, 2014 Автор Share Опубликовано 13 марта, 2014 После удаления записей слетела Windows, переустановил все нормально. SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 13 марта, 2014 Share Опубликовано 13 марта, 2014 @max91, После удаления записей каких? Java 6 Update 26 v.6.0.260 Внимание! Скачать обновления^Удалите старую версию и установите новую (jre-7u51-windows-i586.exe)^ Opera 12.14 v.12.14.1738 Внимание! Скачать обновления^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^ Цитата Ссылка на сообщение Поделиться на другие сайты
max91 0 Опубликовано 15 марта, 2014 Автор Share Опубликовано 15 марта, 2014 каких? После удаления записей в MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 15 марта, 2014 Share Опубликовано 15 марта, 2014 Не удалялось в МВАМ ничего критичного для системы Поэтому считаю это неудачным стечением обстоятельств 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.