Rakhim Опубликовано 25 августа, 2014 Опубликовано 25 августа, 2014 компьютер сам перезагружается, не включает рабочий стол вообще(выдает просто черный экран) через диспетчер задач самостоятельно включаю "explorer.exe" так же не могу включить regedit, пишет что я не админ, пытался почистить комп Kaspersky Virus Removal Tool не получилось т.к как только программа находит вирус комп перезагружается, то же самое и с TDSSKiller// когда делал проверку AutoLogger так же неожиданно после нажатия Accept комп перезапустился... log.txt virusinfo_syscheck.zip virusinfo_syscure.zip
mike 1 Опубликовано 25 августа, 2014 Опубликовано 25 августа, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\users\rahimka\appdata\local\winlogon.exe'); TerminateProcessByName('c:\users\rahimka\appdata\local\services.exe'); TerminateProcessByName('c:\users\rahimka\appdata\local\lsass.exe'); TerminateProcessByName('c:\users\rahimka\appdata\local\csrss.exe'); QuarantineFile('C:\Users\Rahimka\documents\documents.exe',''); QuarantineFile('C:\Users\Rahimka\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com',''); QuarantineFile('C:\Windows\eksplorasi.exe',''); QuarantineFile('C:\Windows\ShellNew\sempalong.exe',''); QuarantineFile('C:\Users\Rahimka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif',''); QuarantineFile('C:\Users\Rahimka\AppData\Local\smss.exe',''); QuarantineFile('c:\users\rahimka\appdata\local\winlogon.exe',''); QuarantineFile('c:\users\rahimka\appdata\local\services.exe',''); QuarantineFile('c:\users\rahimka\appdata\local\lsass.exe',''); QuarantineFile('c:\users\rahimka\appdata\local\csrss.exe',''); DeleteFile('C:\Users\Rahimka\AppData\Local\csrss.exe','32'); DeleteFile('c:\users\rahimka\appdata\local\lsass.exe','32'); DeleteFile('c:\users\rahimka\appdata\local\services.exe','32'); DeleteFile('c:\users\rahimka\appdata\local\winlogon.exe','32'); DeleteFile('C:\Users\Rahimka\AppData\Local\smss.exe','32'); DeleteFile('C:\Users\Rahimka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif','32'); DeleteFile('C:\Windows\ShellNew\sempalong.exe','32'); DeleteFile('C:\Windows\eksplorasi.exe','32'); DeleteFile('C:\Users\Rahimka\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','32'); DeleteFile('C:\Windows\Tasks\At1.job','32'); DeleteFile('C:\Windows\system32\Tasks\At1','32'); DeleteFile('C:\Users\Rahimka\documents\documents.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bron-Spizaetus'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; ExecuteRepair(8); ExecuteRepair(13); ExecuteRepair(16); ExecuteRepair(17); RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи 1 1
Rakhim Опубликовано 25 августа, 2014 Автор Опубликовано 25 августа, 2014 KLAN-1901997281 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.Brengkolang.com,csrss.exe,documents.exe,eksplorasi.exe,Empty.pif,lsass.exe,sempalong.exe,services.exe,smss.exe,winlogon.exe - Email-Worm.Win32.Brontok.qВ настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"LANG: ruemail:description:Выполняется запрос хэлпераЗагруженные файлы:quarantine.zip ______________________________________ CollectionLog-2014.08.25-23.01.zip
mike 1 Опубликовано 25 августа, 2014 Опубликовано 25 августа, 2014 Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.apeha.ru Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsФайл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
Rakhim Опубликовано 25 августа, 2014 Автор Опубликовано 25 августа, 2014 все сделал как было велено) MBAM-log-2014-08-26 (01-01-52).txt
thyrex Опубликовано 25 августа, 2014 Опубликовано 25 августа, 2014 Удалите в МВАМ только указанные ниже записи Обнаруженные папки: 6 C:\Users\Rahimka\AppData\Local\Bron.tok-11-18 (Worm.Brontok) -> Действие не было предпринято. C:\Users\Rahimka\AppData\Local\Bron.tok-11-19 (Worm.Brontok) -> Действие не было предпринято. C:\Users\Rahimka\AppData\Local\Bron.tok-11-20 (Worm.Brontok) -> Действие не было предпринято. C:\Users\Rahimka\AppData\Local\Bron.tok-11-21 (Worm.Brontok) -> Действие не было предпринято. C:\Users\Rahimka\AppData\Local\Bron.tok-11-24 (Worm.Brontok) -> Действие не было предпринято. C:\Users\Rahimka\AppData\Local\Bron.tok-11-25 (Worm.Brontok) -> Действие не было предпринято. Обнаруженные файлы: 23 C:\Users\Rahimka\AppData\Local\inetinfo.exe (Trojan.Dropper) -> Действие не было предпринято. C:\TDSSKiller_Quarantine\25.08.2014_14.59.39\uds0000\file0000\tsk0000.dta (Trojan.Dropper) -> Действие не было предпринято. C:\TDSSKiller_Quarantine\25.08.2014_14.59.39\uds0001\file0000\tsk0000.dta (Trojan.Dropper) -> Действие не было предпринято. C:\TDSSKiller_Quarantine\25.08.2014_17.24.26\uds0000\file0000\tsk0000.dta (Trojan.Dropper) -> Действие не было предпринято. C:\TDSSKiller_Quarantine\25.08.2014_17.24.26\uds0001\file0000\tsk0000.dta (Trojan.Dropper) -> Действие не было предпринято.
mike 1 Опубликовано 25 августа, 2014 Опубликовано 25 августа, 2014 Проверьте любой из этих файлов на VirusTotal Обнаруженные файлы: C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\BIOGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\BIOGame\Profile\Profile.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\Save\Shep_11__080814\Shep_11__080814.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Localization\INT\INT.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\NFS Most Wanted\Rakhim\Rakhim.exe (Trojan.Dropper) -> Действие не было предпринято.
Rakhim Опубликовано 26 августа, 2014 Автор Опубликовано 26 августа, 2014 Проверьте любой из этих файлов на VirusTotal Обнаруженные файлы: C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\BIOGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\BIOGame\Profile\Profile.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\BioWare\Mass Effect 2\Save\Shep_11__080814\Shep_11__080814.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Localization\INT\INT.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\NFS Most Wanted\Rakhim\Rakhim.exe (Trojan.Dropper) -> Действие не было предпринято. спасибо большое за помощь,все удалил, все отлично)
Rakhim Опубликовано 26 августа, 2014 Автор Опубликовано 26 августа, 2014 вот MBAM-log-2014-08-26 (13-57-47).txt
mike 1 Опубликовано 26 августа, 2014 Опубликовано 26 августа, 2014 Любой из этих файлов проверьте на VirusTotal: C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Localization\INT\INT.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\NFS Most Wanted\Rakhim\Rakhim.exe (Trojan.Dropper) -> Действие не было предпринято.
mike 1 Опубликовано 26 августа, 2014 Опубликовано 26 августа, 2014 Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin QuarantineFile('C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Config\Config.exe',''); QuarantineFile('C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Localization\INT\INT.exe',''); QuarantineFile('C:\Users\Rahimka\Documents\NFS Most Wanted\Rakhim\Rakhim.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end. quarantine2.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) В MBAM удалите: Обнаруженные файлы: 10 C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Config\Config.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\My Games\Tony Hawk Pro Skater HD\THHDGame\Localization\INT\INT.exe (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Rahimka\Documents\NFS Most Wanted\Rakhim\Rakhim.exe (Trojan.Dropper) -> Действие не было предпринято. E:\Users\Rahim_ka\AppData\Roaming\OpenCandy\F4E076F7920D4FCDB2060E4073B4CD1D\DeltaTB.exe (PUP.Optional.Delta.A) -> Действие не было предпринято.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти