Перейти к содержанию
Правила раздела

Вирус Baidu

taybinec

Автор taybinec
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Деинсталлируйте что сможете:
MediaHitBrowserPackage-->MsiExec.exe /I{0747113A-9D6D-49D9-9739-443603FB9BAA}
Stronghold AntiMalware-->"C:\Program Files\Stronghold AntiMalware\unins000.exe"
Аудио и видео скачивание-->"C:\Program Files\Аудио и видео скачивание\unins000.exe"
Аудио и видео скачивание-->"C:\Program Files\Аудио и видео скачивание\unins001.exe"
????1.8-->C:\Program Files\Baidu\BaiduSd\1.8.0.1255\uninst.exe
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Nikolay\appdata\roaming\newsi_10\s_inst.exe','');
 QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
 DeleteService('qknfd');
 DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
 DeleteFile('C:\Windows\Tasks\OptimizerPro1UpdaterTask{120DFAEE-DA97-4D49-B67D-F27F5880CD36}.job','32');
 DeleteFile('C:\Windows\system32\Tasks\EPUpdater','32');
 DeleteFile('C:\Windows\system32\Tasks\OptimizerPro1UpdaterTask{120DFAEE-DA97-4D49-B67D-F27F5880CD36}','32');
 DeleteFile('C:\Users\Nikolay\appdata\roaming\newsi_10\s_inst.exe','32');
 DeleteFileMask('C:\Users\Nikolay\appdata\roaming\newsi_10', '*', true, ' ');
 DeleteDirectory('C:\Users\Nikolay\appdata\roaming\newsi_10');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?iq
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff3f560cb5405ebd5b723fdc606524e8&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://inca.im/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff3f560cb5405ebd5b723fdc606524e8&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff3f560cb5405ebd5b723fdc606524e8&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff3f560cb5405ebd5b723fdc606524e8&text=
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe"  -stmd=3
O18 - Protocol: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - (no file)
 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 

 

Скачайте ComboFix здесь и сохраните в корень диска С. 
 
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
 
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
 
 
Ссылка на комментарий
Поделиться на другие сайты
taybinec

taybinec

Опубликовано
  • Автор
Опубликовано

KLAN-2264295830

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

s_inst.exe - not-a-virus:AdWare.Win32.MMag.f

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

 

Лог:

 

ClearLNK by Alex Dragokas                                 ver. 2.6.0.8 Beta

OS:      x32 Windows 7 Ultimate. Service Pack: 1
Time:    20.11.2014 - 21:48
IsAdmin: True
User:    Nikolay
_____________________________ Begin of Log ______________________________

[ OK ] "C:\Users\Nikolay\AppData\Local\Mail.Ru\Mail.Ru.lnk" [ "C:\Program Files\Internet Explorer\iexplore.exe" hxxp://www.mail.ru ]  (ОК)   Метод A2-R5
[DEL ] "C:\Users\Nikolay\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk"   (цель не восстановлена)   Метод AN-R5
[ OK ] "C:\Users\Nikolay\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk" [ "C:\Users\Nikolay\AppData\Local\Xpom\Application\run_chrome.exe" ]  (ОК)   Метод A2-R5
[DEL ] "C:\Users\Nikolay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk"   (цель не восстановлена)   Метод AN-R5
[ OK ] "C:\Users\Nikolay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk" [ "C:\Users\Nikolay\AppData\Local\Xpom\Application\run_chrome.exe" ]  (ОК)   Метод A2-R5
[ OK ] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warplanes\World of Warplanes.lnk" [ "C:\Games\World_of_Warplanes\WOWpLauncher.exe" ]  (ОК)   Метод A1-R4
[ OK ] "C:\Users\Nikolay\Desktop\World of Tanks.lnk" [ "C:\Games\World of Tanks\WOTLauncher.exe" ]  (ОК)   Метод A1-R4

______________________________ Статистика ______________________________
Исправлено:     5
Удалено:        2
Пропущено:      0
Блокировок:     0
Предупреждений: 0
Ошибок:         0
______________________________ End of Log ______________________________

 

Лог combofix

 

ComboFix 14-11-18.01 - Nikolay 20.11.2014  21:57:37.1.2 - x86
Microsoft Windows 7 Максимальная   6.1.7601.1.1251.7.1049.18.2046.998 [GMT 7:00]
Running from: C:\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
SP: avast! Antivirus *Disabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\END
c:\program files\Google Chrome 36.0.1985.143 Stable.exe
c:\program files\GOOGLE~1.exe
c:\program files\Movies App\Datamngr
c:\users\Nikolay\AppData\Local\storegid
c:\users\Nikolay\AppData\Local\storegid\libeay32.dll
c:\users\Nikolay\AppData\Local\storegid\nfapi.dll
c:\users\Nikolay\AppData\Local\storegid\ProtocolFilters.dll
c:\users\Nikolay\AppData\Local\storegid\ssleay32.dll
c:\users\Nikolay\AppData\Local\storegid\storegid.exe
c:\users\Nikolay\AppData\Roaming\Mozilla\Firefox\Profiles\elpx6cmf.default\searchplugins\webalta-search.xml
c:\users\Nikolay\AppData\Roaming\Zona
c:\users\Nikolay\AppData\Roaming\Zona\init.xml
c:\users\Nikolay\AppData\Roaming\Zona\tmp\Zona.7z
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\ST6UNST.000
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\SETC868.tmp
c:\windows\system32\SETCB78.tmp
c:\windows\system32\tmp24FD.tmp
c:\windows\system32\tmp2646.tmp
c:\windows\system32\tmp3717.tmp
c:\windows\system32\tmp3785.tmp
c:\windows\system32\tmp656.tmp
c:\windows\system32\tmp696.tmp
c:\windows\system32\tmp83DE.tmp
c:\windows\system32\tmp84E8.tmp
c:\windows\system32\tmp8A64.tmp
c:\windows\system32\tmp8B9D.tmp
c:\windows\system32\tmpA16D.tmp
c:\windows\system32\tmpA21A.tmp
c:\windows\system32\tmpECCE.tmp
c:\windows\system32\wpcap.dll
c:\windows\unin0419.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_BD0001
-------\Legacy_BD0002
-------\Legacy_NPF
-------\Service_bd0001
-------\Service_bd0002
-------\Service_NPF
.
.
(((((((((((((((((((((((((   Files Created from 2014-10-20 to 2014-11-20  )))))))))))))))))))))))))))))))
.
.
2014-11-20 15:08 . 2014-11-20 15:14    --------    d-----w-    c:\users\Nikolay\AppData\Local\temp
2014-11-20 15:08 . 2014-11-20 15:08    --------    d-----w-    c:\users\Гость\AppData\Local\temp
2014-11-20 14:17 . 2014-11-20 14:23    --------    d-----w-    c:\windows\system32\MpEngineStore
2014-11-20 14:10 . 2013-12-04 02:03    423936    ----a-w-    c:\windows\system32\secproc_isv.dll
2014-11-20 14:10 . 2013-12-04 01:54    510976    ----a-w-    c:\windows\system32\RMActivate_ssp.exe
2014-11-20 14:10 . 2013-12-04 01:54    594944    ----a-w-    c:\windows\system32\RMActivate_isv.exe
2014-11-20 14:10 . 2013-12-04 01:54    572416    ----a-w-    c:\windows\system32\RMActivate.exe
2014-11-20 14:10 . 2013-12-04 01:54    508928    ----a-w-    c:\windows\system32\RMActivate_ssp_isv.exe
2014-11-20 14:10 . 2013-12-04 02:03    87040    ----a-w-    c:\windows\system32\secproc_ssp_isv.dll
2014-11-20 14:10 . 2013-12-04 02:03    87040    ----a-w-    c:\windows\system32\secproc_ssp.dll
2014-11-20 14:10 . 2013-12-04 02:03    428032    ----a-w-    c:\windows\system32\secproc.dll
2014-11-20 14:10 . 2013-12-04 02:02    390144    ----a-w-    c:\windows\system32\msdrm.dll
2014-11-20 14:08 . 2014-05-08 09:06    2742784    ----a-w-    c:\windows\system32\rdpcorets.dll
2014-11-20 14:08 . 2014-05-08 09:06    13824    ----a-w-    c:\windows\system32\RdpGroupPolicyExtension.dll
2014-11-20 13:31 . 2014-11-20 13:31    --------    d-----w-    c:\programdata\Kaspersky Lab
2014-11-20 13:13 . 2014-11-20 13:14    --------    d-----w-    c:\users\Администратор
2014-11-20 12:46 . 2014-11-17 10:05    231240    ----a-w-    c:\windows\system32\drivers\BDMWrench.sys
2014-11-20 12:46 . 2014-05-16 05:02    203080    ----a-w-    c:\windows\system32\drivers\bd0002.sys
2014-11-20 12:45 . 2014-05-16 05:02    90440    ----a-w-    c:\windows\system32\drivers\BDArKit.SYS
2014-11-20 12:45 . 2014-05-16 05:02    70984    ----a-w-    c:\windows\system32\drivers\bd0001.sys
2014-10-29 10:53 . 2014-10-29 10:53    --------    d-----w-    c:\programdata\.mono
2014-10-28 13:31 . 2014-10-28 13:31    --------    d-----w-    c:\users\Default\AppData\Roaming\AVAST Software
2014-10-28 13:31 . 2014-10-28 13:31    291352    ----a-w-    c:\windows\system32\aswBoot.exe
2014-10-28 13:31 . 2014-10-28 13:31    43152    ----a-w-    c:\windows\avastSS.scr
2014-10-28 13:23 . 2014-10-28 13:23    --------    d-----w-    c:\programdata\Yandex
2014-10-28 13:23 . 2014-10-28 13:23    --------    d-----w-    c:\program files\Yandex
2014-10-27 12:13 . 2014-10-27 12:13    --------    d-----w-    c:\users\Nikolay\AppData\Local\torchimeshmoviestoolbar
2014-10-27 12:13 . 2014-11-20 15:07    --------    d-----w-    c:\program files\Movies App
2014-10-27 12:12 . 2014-11-16 10:21    --------    d-----w-    c:\users\Nikolay\AppData\Local\Torch
2014-10-27 12:01 . 2014-10-27 12:01    --------    d-----w-    c:\users\Nikolay\AppData\Roaming\VOPackage
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-11-13 12:03 . 2012-07-30 15:23    701104    ----a-w-    c:\windows\system32\FlashPlayerApp.exe
2014-11-13 12:03 . 2012-07-30 14:27    71344    ----a-w-    c:\windows\system32\FlashPlayerCPLApp.cpl
2014-11-01 08:02 . 2012-07-30 13:08    787800    ----a-w-    c:\windows\system32\drivers\aswsnx.sys
2014-11-01 08:02 . 2012-07-30 13:08    70384    ----a-w-    c:\windows\system32\drivers\aswmonflt.sys
2014-10-28 13:31 . 2014-05-01 00:11    24184    ----a-w-    c:\windows\system32\drivers\aswHwid.sys
2014-10-28 13:31 . 2014-01-03 12:19    91496    ----a-w-    c:\windows\system32\drivers\aswstm.sys
2014-10-28 13:31 . 2013-03-16 02:33    49944    ----a-w-    c:\windows\system32\drivers\aswRvrt.sys
2014-10-28 13:31 . 2013-03-16 02:33    206248    ----a-w-    c:\windows\system32\drivers\aswVmm.sys
2014-10-28 13:31 . 2012-07-30 13:08    422760    ----a-w-    c:\windows\system32\drivers\aswsp.sys
2014-10-28 13:31 . 2012-07-30 13:08    81768    ----a-w-    c:\windows\system32\drivers\aswRdr2.sys
2014-10-04 11:19 . 2014-10-04 11:19    101    ---h--w-    C:\iexplore.bat
2014-10-04 11:19 . 2014-10-04 11:18    100    ---h--w-    C:\firefox.bat
2014-10-04 11:19 . 2014-10-04 11:19    149    ---h--w-    c:\users\Nikolay\AppData\Local\chrome.bat
2014-10-04 11:19 . 2014-10-04 11:19    161    ---h--w-    c:\users\Nikolay\AppData\Roaming\MediaHit.Launcher.bat
2014-10-04 11:19 . 2014-10-04 11:19    95    ---h--w-    C:\WOWpLauncher.bat
2014-10-04 11:19 . 2014-10-04 11:19    95    ---h--w-    C:\launcher.bat
2014-10-04 11:18 . 2014-10-04 11:18    95    ---h--w-    C:\WOTLauncher.bat
2014-08-27 10:09 . 2012-09-08 07:30    109144    ----a-w-    c:\windows\system32\OpenAL32.dll
2014-08-27 10:09 . 2012-09-08 07:30    445016    ----a-w-    c:\windows\system32\wrap_oal.dll
2013-10-16 05:54 . 2013-10-16 05:54    40    ----a-w-    c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
.
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-10-28 13:31    723976    ----a-w-    c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2014-08-21 959176]
"AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-11-01 5223016]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"SoftwareSASGeneration"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2014-08-21 16:30    959176    ----a-w-    c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2012-04-03 23:09    446392    ------w-    c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QIP Internet Guardian]
2012-12-26 06:34    435072    ----a-w-    c:\users\Nikolay\AppData\Roaming\QipGuard\QipGuard.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2013-06-21 03:48    19876968    ----a-r-    c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2013-05-02 13:46    802136    ----a-w-    c:\program files\uTorrent\uTorrent.exe
.
R1 aswKbd;aswKbd;c:\windows\system32\drivers\aswKbd.sys [x]
R2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-10-28 91496]
R2 avast! Firewall;avast! Firewall;c:\program files\AVAST Software\Avast\afwServ.exe [2014-02-10 113704]
R3 2GISUpdateService;2GIS UpdateService;c:\program files\2gis\3.0\2GISUpdateService.exe [2014-09-30 3764760]
R3 96EW;96EW Filter;c:\windows\system32\DRIVERS\96EW.sys [x]
S0 aswRvrt;avast! Revert; [x]
S0 aswVmm;avast! VM Monitor; [x]
S1 aswNdisFlt;Avast! Firewall Driver;c:\windows\system32\DRIVERS\aswNdisFlt.sys [2014-02-22 265072]
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-11-01 787800]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-10-28 422760]
S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-10-28 24184]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-11-01 70384]
.
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile    REG_MULTI_SZ       wcescomm rapimgr
LocalServiceRestricted    REG_MULTI_SZ       WcesComm RapiMgr
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-10-28 04:27    1089352    ----a-w-    c:\program files\Google\Chrome\Application\38.0.2125.111\Installer\chrmstp.exe
.
Contents of the 'Scheduled Tasks' folder
.
2014-11-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-30 12:03]
.
2014-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-08-24 10:10]
.
2014-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-08-24 10:10]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yandex.ru/?win=148&clid=1985535
IE: &Отправить в OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Nikolay\AppData\Roaming\Mozilla\Firefox\Profiles\elpx6cmf.default\
FF - prefs.js: browser.search.selectedEngine - РџРѕРёСЃРє@Mail.Ru
FF - prefs.js: browser.startup.homepage - hxxp://mail.ru/cnt/10445?gp=newcustom2
FF - prefs.js: keyword.URL - hxxp://go.mail.ru/search?fr=ntg&q=
FF - user.js: extensions.funmoods.aflt - iron2
FF - user.js: extensions.funmoods.autoRvrt - false
FF - user.js: extensions.funmoods.dfltLng -
FF - user.js: extensions.funmoods.dfltSrch - true
FF - user.js: extensions.funmoods.dnsErr - true
FF - user.js: extensions.funmoods.envrmnt - production
FF - user.js: extensions.funmoods.excTlbr - false
FF - user.js: extensions.funmoods.hmpg - true
FF - user.js: extensions.funmoods.hmpgUrl - hxxp://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449
FF - user.js: extensions.funmoods.id - 00241D2D2188B5F6
FF - user.js: extensions.funmoods.instlDay - 15587
FF - user.js: extensions.funmoods.instlRef - iron2
FF - user.js: extensions.funmoods.isdcmntcmplt - true
FF - user.js: extensions.funmoods.mntrvrsn - 1.3.0
FF - user.js: extensions.funmoods.newTabUrl - hxxp://start.funmoods.com/?f=2&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449
FF - user.js: extensions.funmoods.prdct - funmoods
FF - user.js: extensions.funmoods.prtnrId - funmoods
FF - user.js: extensions.funmoods.srchPrvdr - Search
FF - user.js: extensions.funmoods.tlbrId - base
FF - user.js: extensions.funmoods.tlbrSrchUrl - hxxp://start.funmoods.com/?f=3&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449&q=
FF - user.js: extensions.funmoods.vrsn - 1.5.23.22
FF - user.js: extensions.funmoods.vrsni - 1.5.23.22
FF - user.js: extensions.funmoods_i.newTab - true
FF - user.js: extensions.funmoods_i.smplGrp - none
FF - user.js: extensions.funmoods_i.vrsnTs - 1.5.23.2215:12
FF - user.js: extensions.delta.tlbrSrchUrl -
FF - user.js: extensions.delta.id - d804b5f600000000000000241d2d2188
FF - user.js: extensions.delta.appId - {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
FF - user.js: extensions.delta.instlDay - 15990
FF - user.js: extensions.delta.vrsn - 1.8.24.6
FF - user.js: extensions.delta.vrsni - 1.8.24.6
FF - user.js: extensions.delta.vrsnTs - 1.8.24.620:10
FF - user.js: extensions.delta.prtnrId - delta
FF - user.js: extensions.delta.prdct - delta
FF - user.js: extensions.delta.aflt - babsst
FF - user.js: extensions.delta.smplGrp - none
FF - user.js: extensions.delta.tlbrId - base
FF - user.js: extensions.delta.instlRef - sst
FF - user.js: extensions.delta.dfltLng - ru
FF - user.js: extensions.delta.excTlbr - false
FF - user.js: extensions.delta.ffxUnstlRst - true
FF - user.js: extensions.delta.admin - false
FF - user.js: extensions.delta_i.babTrack - affID=119357&tt=02102013_mx15rsb&tsp=5033
FF - user.js: extensions.delta_i.babExt -
FF - user.js: extensions.delta_i.srcExt - ss
FF - user.js: extensions.delta.autoRvrt - false
FF - user.js: extensions.delta.rvrt - false
FF - user.js: extensions.delta.newTab - false
.
- - - - ORPHANS REMOVED - - - -
.
WebBrowser-{91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
HKLM-Run-BaiduSdTray - c:\program files\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe
HKLM-Run-Stronghold AntiMalware - c:\program files\Stronghold AntiMalware\StrongholdAntiMalware.exe
MSConfigStartUp-AdobeCS6ServiceManager - c:\program files\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe
MSConfigStartUp-UnlockerAssistant - d:\program files\Unlocker\UnlockerAssistant.exe
AddRemove-? - c:\program files\Baidu\BaiduSd\1.8.0.1255\uninst.exe
.
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="AmigoHTML.KJOE5CON4YSEURCOUTJD6SBO2M"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="AmigoHTML.KJOE5CON4YSEURCOUTJD6SBO2M"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="AmigoHTML.KJOE5CON4YSEURCOUTJD6SBO2M"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="AmigoHTML.KJOE5CON4YSEURCOUTJD6SBO2M"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="AmigoHTML.KJOE5CON4YSEURCOUTJD6SBO2M"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe
c:\program files\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe
c:\programdata\EPSON\EPW!3 SSRP\E_S40ST7.EXE
c:\programdata\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\program files\Mail.Ru\Guard\GuardMailRu.exe
c:\program files\Common Files\Protexis\License Service\PsiService_2.exe
c:\users\Nikolay\AppData\Local\THORN\Thorn.exe
c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Mail.Ru\Guard\GuardMailRu.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\NVIDIA Corporation\Display\nvtray.exe
c:\windows\system32\wbem\unsecapp.exe
c:\qgna\qGNA.exe
c:\windows\servicing\TrustedInstaller.exe
c:\program files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Completion time: 2014-11-20  22:17:53 - machine was rebooted
ComboFix-quarantined-files.txt  2014-11-20 15:17
.
Pre-Run: 189 289 467 904 байт свободно
Post-Run: 188 942 667 776 байт свободно
.
- - End Of File - - DC4381A0FA8D411CFF054A3A90A4CDA4
A36C5E4F47E84449FF07ED3517B43A31

 

 

 

Сообщение от модератора Mark D. Pearlstone
Добавляйте спойлер.
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. 




KillAll::

 

File::

C:\Windows\system32\drivers\BDEnhanceBoost.sys

c:\windows\system32\drivers\BDMWrench.sys

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\BDArKit.SYS

c:\windows\system32\drivers\bd0001.sys

c:\windows\system32\drivers\bd0003.sys

C:\iexplore.bat

C:\firefox.bat

c:\users\Nikolay\AppData\Local\chrome.bat

c:\users\Nikolay\AppData\Roaming\MediaHit.Launcher.bat

C:\WOWpLauncher.bat

C:\launcher.bat

C:\WOTLauncher.bat

c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys

 

Driver::

bd0001

bd0002

bd0003

BDMWrench

BDArKit

BDEnhanceBoost

BDKVRTP

BDMRTP

 

Folder::

c:\users\Nikolay\AppData\Local\torchimeshmoviestoolbar

c:\program files\Movies App

c:\users\Nikolay\AppData\Roaming\VOPackage

C:\Users\Nikolay\AppData\Roaming\Baidu

C:\Program Files\Common Files\Baidu

C:\ProgramData\Baidu

C:\Program Files\baidu

 

Registry::

 

Firefox::

FF - user.js: extensions.funmoods.aflt - iron2

FF - user.js: extensions.funmoods.autoRvrt - false

FF - user.js: extensions.funmoods.dfltLng -

FF - user.js: extensions.funmoods.dfltSrch - true

FF - user.js: extensions.funmoods.dnsErr - true

FF - user.js: extensions.funmoods.envrmnt - production

FF - user.js: extensions.funmoods.excTlbr - false

FF - user.js: extensions.funmoods.hmpg - true

FF - user.js: extensions.funmoods.hmpgUrl - hxxp://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449

FF - user.js: extensions.funmoods.id - 00241D2D2188B5F6

FF - user.js: extensions.funmoods.instlDay - 15587

FF - user.js: extensions.funmoods.instlRef - iron2

FF - user.js: extensions.funmoods.isdcmntcmplt - true

FF - user.js: extensions.funmoods.mntrvrsn - 1.3.0

FF - user.js: extensions.funmoods.newTabUrl - hxxp://start.funmoods.com/?f=2&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449

FF - user.js: extensions.funmoods.prdct - funmoods

FF - user.js: extensions.funmoods.prtnrId - funmoods

FF - user.js: extensions.funmoods.srchPrvdr - Search

FF - user.js: extensions.funmoods.tlbrId - base

FF - user.js: extensions.funmoods.tlbrSrchUrl - hxxp://start.funmoods.com/?f=3&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449&q=

FF - user.js: extensions.funmoods.vrsn - 1.5.23.22

FF - user.js: extensions.funmoods.vrsni - 1.5.23.22

FF - user.js: extensions.funmoods_i.newTab - true

FF - user.js: extensions.funmoods_i.smplGrp - none

FF - user.js: extensions.funmoods_i.vrsnTs - 1.5.23.2215:12

FF - user.js: extensions.delta.tlbrSrchUrl -

FF - user.js: extensions.delta.id - d804b5f600000000000000241d2d2188

FF - user.js: extensions.delta.appId - {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

FF - user.js: extensions.delta.instlDay - 15990

FF - user.js: extensions.delta.vrsn - 1.8.24.6

FF - user.js: extensions.delta.vrsni - 1.8.24.6

FF - user.js: extensions.delta.vrsnTs - 1.8.24.620:10

FF - user.js: extensions.delta.prtnrId - delta

FF - user.js: extensions.delta.prdct - delta

FF - user.js: extensions.delta.aflt - babsst

FF - user.js: extensions.delta.smplGrp - none

FF - user.js: extensions.delta.tlbrId - base

FF - user.js: extensions.delta.instlRef - sst

FF - user.js: extensions.delta.dfltLng - ru

FF - user.js: extensions.delta.excTlbr - false

FF - user.js: extensions.delta.ffxUnstlRst - true

FF - user.js: extensions.delta.admin - false

FF - user.js: extensions.delta_i.babTrack - affID=119357&tt=02102013_mx15rsb&tsp=5033

FF - user.js: extensions.delta_i.babExt -

FF - user.js: extensions.delta_i.srcExt - ss

FF - user.js: extensions.delta.autoRvrt - false

FF - user.js: extensions.delta.rvrt - false

FF - user.js: extensions.delta.newTab - false



FileLook::

 

DirLook::

 

Reboot::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

5315621m.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. 




http://forum.kasperskyclub.ru/index.php?showtopic=44675

 

KillAll::

 

Collect::

C:\iexplore.bat

C:\firefox.bat

c:\users\Nikolay\AppData\Local\chrome.bat

c:\users\Nikolay\AppData\Roaming\MediaHit.Launcher.bat

C:\WOWpLauncher.bat

C:\launcher.bat

C:\WOTLauncher.bat

c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys

 

File::

c:\windows\system32\drivers\bd0001.sys

c:\windows\system32\drivers\BDArKit.SYS

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\BDMWrench.sys

 

Driver::

 

Folder::

 

Registry::

 

Firefox::

FF - user.js: extensions.funmoods.aflt - iron2

FF - user.js: extensions.funmoods.autoRvrt - false

FF - user.js: extensions.funmoods.dfltLng - 

FF - user.js: extensions.funmoods.dfltSrch - true

FF - user.js: extensions.funmoods.dnsErr - true

FF - user.js: extensions.funmoods.envrmnt - production

FF - user.js: extensions.funmoods.excTlbr - false

FF - user.js: extensions.funmoods.hmpg - true

FF - user.js: extensions.funmoods.hmpgUrl - hxxp://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449

FF - user.js: extensions.funmoods.id - 00241D2D2188B5F6

FF - user.js: extensions.funmoods.instlDay - 15587

FF - user.js: extensions.funmoods.instlRef - iron2

FF - user.js: extensions.funmoods.isdcmntcmplt - true

FF - user.js: extensions.funmoods.mntrvrsn - 1.3.0

FF - user.js: extensions.funmoods.newTabUrl - hxxp://start.funmoods.com/?f=2&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449

FF - user.js: extensions.funmoods.prdct - funmoods

FF - user.js: extensions.funmoods.prtnrId - funmoods

FF - user.js: extensions.funmoods.srchPrvdr - Search

FF - user.js: extensions.funmoods.tlbrId - base

FF - user.js: extensions.funmoods.tlbrSrchUrl - hxxp://start.funmoods.com/?f=3&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449&q=

FF - user.js: extensions.funmoods.vrsn - 1.5.23.22

FF - user.js: extensions.funmoods.vrsni - 1.5.23.22

FF - user.js: extensions.funmoods_i.newTab - true

FF - user.js: extensions.funmoods_i.smplGrp - none

FF - user.js: extensions.funmoods_i.vrsnTs - 1.5.23.2215:12

FF - user.js: extensions.delta.tlbrSrchUrl - 

FF - user.js: extensions.delta.id - d804b5f600000000000000241d2d2188

FF - user.js: extensions.delta.appId - {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

FF - user.js: extensions.delta.instlDay - 15990

FF - user.js: extensions.delta.vrsn - 1.8.24.6

FF - user.js: extensions.delta.vrsni - 1.8.24.6

FF - user.js: extensions.delta.vrsnTs - 1.8.24.620:10

FF - user.js: extensions.delta.prtnrId - delta

FF - user.js: extensions.delta.prdct - delta

FF - user.js: extensions.delta.aflt - babsst

FF - user.js: extensions.delta.smplGrp - none

FF - user.js: extensions.delta.tlbrId - base

FF - user.js: extensions.delta.instlRef - sst

FF - user.js: extensions.delta.dfltLng - ru

FF - user.js: extensions.delta.excTlbr - false

FF - user.js: extensions.delta.ffxUnstlRst - true

FF - user.js: extensions.delta.admin - false

FF - user.js: extensions.delta_i.babTrack - affID=119357&tt=02102013_mx15rsb&tsp=5033

FF - user.js: extensions.delta_i.babExt - 

FF - user.js: extensions.delta_i.srcExt - ss

FF - user.js: extensions.delta.autoRvrt - false

FF - user.js: extensions.delta.rvrt - false

FF - user.js: extensions.delta.newTab - false



FileLook::

 

DirLook::

 

Reboot::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. ComboFix предпримет попытку отправить часть вредоносных файлов разработчику. Согласитесь на отправку файлов.

5315621m.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • monstr878
      Непонятный вирус!
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • alexansh
      Если вирус был на андроиде UDS:Trojan.AndroidOS.Piom.bngd
      Автор alexansh
      На смартфоне
      Версия Android 9 PPR1.180610.011
      Проверял антивирусом
      Kaspersky Free 
      Версия 11.124.4.14286
      Вирус: UDS:Trojan.AndroidOS.Piom.bngd
      -----------------------------------------------
      Если на смартфоне при открытии приложения "Сбербанк" появилось сообщение, что обнаружен вирус "UDS:Trojan.AndroidOS.Piom.bngd" 
      и при этом давалась возможность удалить этот вирус, что я и сделал (удалил его).
      В тех.поддержке Сбербанка мне сказали, что этот вирус был в прошивке смартфона, и что теперь уже он удалён модулем Касперского.
      Также сказали, что какие могут быть последствия от этого вируса, они не знают.
      Рекомендовали обратиться в Лабораторию Касперского.
      После этого на смартфоне иногда возникали торможения - черный экран во время работы на некоторое время и черный экран при перезагрузке на некоторое время.
      Кнопками можно было вывести смартфон в нормальное состояние. Но в основном смартфон работает нормально.
      **********************************************************************************************************************************
      Хотел узнать, что это за троян, что он делает, какие возможные последствия и как его можно побороть ?
      И лечится ли он антивирусом, если находится в прошивке ? (ведь при входе в приложение Сбербанк вирус был удален из прошивки).
      И как "очистить" прошивку, чтобы быть уверенным, что там всё в порядке ?
      И как избавиться от последствий этого трояна ?

    • Eugenij_
      Вирус в оперативке видеокарты
      Автор Eugenij_
      Здравствуйте. Сегодня поймал удивительного вируса. Купил видеокарту недорого. На Озоне. Говорят, на витрине стояла. 1070. Воткнул. Начал ставить драйвера. Смотрю. У меня архивчик на рабочем столе сам мелькнул. И пропал. Я, естественно, шнур интернета выдернул. И перезагузился в линукс. И начал наблюдать удивительную картину, как у меня в папку загрузки сыплется софт. Я его удаляю, а он снова летит. Там даже сервер под винду падал. Денвер. Драйвера на мою материнку...  Касперский ни звука. Ладно, гружу винду в безопасном режиме. Лезу в службы и обнруживаю драйвер Рам диска. И отключить зараза не даёт. Отдавать не хочу. Интересно сбороть. Тут, наверное, только биос шить? К сожалению это было уже ночью. Не было сил нормально понаблюдать. Пока компьютер не включал. 
×
×
  • Создать...