zyablik Опубликовано 2 июля, 2014 Опубликовано 2 июля, 2014 (изменено) Запущенный комп. CPU 2.4, RAM 504. Однозначно заражает флэшки вирусом Trojan.Win32.Yakes.enyg (на флэшках все имеющиеся папки и файлы скрываются с неснимаемыми атрибутами скрытости — в Total Commander'е снять можно разве что; вместо них появляются нескрытые одноименные ярлыки с предисполнением вируса, т.е. если открываем файл с флэшки — размножаем вирус с успехом; хотя флэшка заражается уже при вставке в USB). Вирус с флэшек легко удаляется на других компьютерах Касперским, атрибуты восстанавливаются с помощью всё того же Total Commander'а.Но беда в другом: на сам зараженный компьютер Касперский /KIS2013/ не устанавливается (начинается всё хорошо, но на полпути /?/ требует перезагрузки, потом всё по-новой приходится начинать). Прогнал AVZ, ADW-Cleaner, MBAM'ом. ADW и MBAM чего-то находили. Но это не тот вирус (хотя папок "Карантин" они насоздавали): и после них вирус как жил, так и живёт. Сносить систему не охота, но, кажется, придется.Спасибо. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log AdwCleanerS0.txt AdwCleanerR0.txt Изменено 2 июля, 2014 пользователем zyablik
SLASH_id Опубликовано 2 июля, 2014 Опубликовано 2 июля, 2014 Хелперы вам помогут, но сначала я бы прогнал машину через KRD. 1
zyablik Опубликовано 2 июля, 2014 Автор Опубликовано 2 июля, 2014 (изменено) Хелперы вам помогут, но сначала я бы прогнал машину через KRD. Что такое KRD? Kaspersky Removal Tools еще на той неделе носил (просто с CD запускал) — почему-то, как мне сказали, ничего не нашел. Самому было некогда тогда досмотреть. Сегодня уже комп притащили на мою голову Изменено 2 июля, 2014 пользователем zyablik
SLASH_id Опубликовано 2 июля, 2014 Опубликовано 2 июля, 2014 Kaspersky Rescue Disk Скачать, записать на диск, загрузиться, обновить базы если надо и провести скан дисков. 1
mike 1 Опубликовано 2 июля, 2014 Опубликовано 2 июля, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Documents and Settings\Obidina\Application Data\Identities\Ggtuta.exe',''); QuarantineFile('C:\DOCUME~1\Obidina\LOCALS~1\Temp\Adobe\Reader_sl.exe',''); DeleteFile('C:\DOCUME~1\Obidina\LOCALS~1\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\Documents and Settings\Obidina\Application Data\Identities\Ggtuta.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ggtuta'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Выполните скрипт из этой темы. Сделайте новые логи 1 1
zyablik Опубликовано 2 июля, 2014 Автор Опубликовано 2 июля, 2014 (изменено) ... Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Documents and Settings\Obidina\Application Data\Identities\Ggtuta.exe',''); QuarantineFile('C:\DOCUME~1\Obidina\LOCALS~1\Temp\Adobe\Reader_sl.exe',''); DeleteFile('C:\DOCUME~1\Obidina\LOCALS~1\Temp\Adobe\Reader_sl.exe','32'); DeleteFile('C:\Documents and Settings\Obidina\Application Data\Identities\Ggtuta.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ggtuta'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Wow! Спасибо! После выполнения скриптов флэшки перестали заражаться ! Я ж до сих пор тот комп к локалке не подключил: вожусь туда-сюда с одной "жертвенной" флэшкой , леча-перелечивая ея... Остальное — уже завтра + попытка установки Касперского — тоже . Изменено 2 июля, 2014 пользователем zyablik
mike 1 Опубликовано 2 июля, 2014 Опубликовано 2 июля, 2014 (изменено) Хорошо ждем новые логи Изменено 2 июля, 2014 пользователем mike 1
zyablik Опубликовано 3 июля, 2014 Автор Опубликовано 3 июля, 2014 (изменено) quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Выполните скрипт из этой темы. Сделайте новые логи В вирусную лабораторию файл-архив отправлял, но он не дошел. По их рекомендации отправил с новым паролем. Длинный скрипт выполнил. Возникли 2 reg-файла, попытаюсь их вложить. Ну и новый логи AVZ: virusinfo_syscure.zip virusinfo_syscheck.zip. Автокарантин.zip не отправляю. Папки Quarantine при создании логов на этот раз не возникло. P.S. Reg-и вложить не даете — тогда вот архив: 2.rar Oops: не заметил на Рабочем Столе (на нем нет места!):Correct_wuauserv&BITS.log! ------------------- Ну что-ты будешь делать, а?! Опять письмо из Лаборатории (Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-1749235438]) с аналогичным ответом: Здравствуйте, ...Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected. С уважением, Лаборатория Касперского... Изменено 3 июля, 2014 пользователем zyablik
zyablik Опубликовано 3 июля, 2014 Автор Опубликовано 3 июля, 2014 (изменено) Логи RSIT где? Это: hijackthis.log ? Нет? Здесь? Скачал. Логи RSIT: info.txt и log.txt. Изменено 3 июля, 2014 пользователем zyablik
mike 1 Опубликовано 3 июля, 2014 Опубликовано 3 июля, 2014 Это лог HiJackThis. Нужны логи RSIT. Инструкция здесь http://safezone.cc/threads/kak-podgotovit-logi-randoms-system-information-tool-rsit.389/
zyablik Опубликовано 3 июля, 2014 Автор Опубликовано 3 июля, 2014 Это лог HiJackThis. Нужны логи RSIT. Инструкция здесь http://safezone.cc/threads/kak-podgotovit-logi-randoms-system-information-tool-rsit.389/ Инструкцию не успел прочитать. Но логи в предыдущем сообчении.
mike 1 Опубликовано 3 июля, 2014 Опубликовано 3 июля, 2014 Логи в порядке. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt 1
zyablik Опубликовано 3 июля, 2014 Автор Опубликовано 3 июля, 2014 Логи в порядке. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt SecurityCheck.txt
mike 1 Опубликовано 3 июля, 2014 Опубликовано 3 июля, 2014 Обновляйте: Автоматическое обновление отключено (1) Автоматическое обновление (wuauserv) - Служба остановлена Восстановление системы отключено -------------AntiVirusFirewallInstall------------- Kaspersky Internet Security 2012 v.12.0.0.374 - актуальная версия 2014. Kaspersky Internet Security 2011 v.11.0.2.556 -------------Java--------------------------------- Java 6 Update 21 v.6.0.210 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u60-windows-i586.exe)^ -------------AdobeProduction---------------------- Adobe Reader X (10.0.1) - Russian v.10.0.1 Внимание! Скачать обновления -------------Browser------------------------------ Opera 11.10 v.11.10.2092 Внимание! Скачать обновления Советы и рекомендации после лечения компьютера 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти