Soft 1 451 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 Логи CollectionLog-2014.08.17-10.22.zip Образцы.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 043 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\uKoCAqyxUWlsQM.exe',''); DeleteFile('C:\WINDOWS\system32\uKoCAqyxUWlsQM.exe','32'); RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','CYKKgPBseXCicJowTnrkMgsMiC'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk Сделайте новые логи Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsФайл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 1 1 Ссылка на сообщение Поделиться на другие сайты
Soft 1 451 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 (изменено) CollectionLog-2014.08.17-12.58.zip Лог MBAM не получается скопировать или произвести экспорт в формате *.txt Происходит ошибка. mbam-log-2014-08-17 (13-03-15).rar Изменено 17 августа, 2014 пользователем Soft Ссылка на сообщение Поделиться на другие сайты
mike 1 1 043 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 В MBAM поместите в карантин все найденное. Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM by OldTimer (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processes :Services :Files :Reg [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\system32\svchost.exe"=- "C:\WINDOWS\explorer.exe"=- :Commands [purity] [Reboot] В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Компьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение. 1 1 Ссылка на сообщение Поделиться на другие сайты
Soft 1 451 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 08172014_143011.log Чисто? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 409 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 @Soft, карантин отправили? Номер KLAN получили? Ссылка на сообщение Поделиться на другие сайты
Soft 1 451 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 @thyrex, карантин отправлять не стал так как он пустой. Но сам вредоносный файл отправил в вирлаб ещё вчера. Или всё таки карантин нужно отправить? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 409 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 Если пустой, не нужно Ссылка на сообщение Поделиться на другие сайты
Soft 1 451 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 (изменено) P.S. uKoCAqyxUWlsQM.exe этого файла нет в карантине AVZ, так как антивирус поместил его в свой карантин. Изменено 17 августа, 2014 пользователем Soft Ссылка на сообщение Поделиться на другие сайты
mike 1 1 043 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 P.S. uKoCAqyxUWlsQM.exe этого файла нет в карантине AVZ, так как антивирус поместил его в свой карантин. Файла уже не было на диске. Чисто? Если в MBAM записи удалили, то да. Ссылка на сообщение Поделиться на другие сайты
Soft 1 451 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 @mike 1, спасибо. Если появится дешифратор дайте знать. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения