maavrus141 Опубликовано 27 ноября, 2014 Опубликовано 27 ноября, 2014 Добрый день! Удалил с помощью AVZ - эти вирусы, а вернее думал что удалил. Вот недавно вставил флешку и обнаружил, что все файлы в корне флешки стали называться иероглифами а даты создания у папок и файлов были 2097 и т.п. Просканировал все еще раз DRWEB Cureit. Не чего не нашлось. Вставил флешку вновь на следующий день. Иероглифы не показываются, все вроде бы вернулось на свои места, но есть подозрение что что то осталось. CollectionLog-2014.11.27-11.14.zip
maavrus141 Опубликовано 27 ноября, 2014 Автор Опубликовано 27 ноября, 2014 Вот поискал еще одной программкой которая ищет троянов, руткитов и вредоносные программы. Удалил бы с помощью нее, да стоит она дороговато. Только это не лог а скриншот. В бесплатной версии нельзя ничего сделать ни отчет ни чего.
Roman_Five Опубликовано 27 ноября, 2014 Опубликовано 27 ноября, 2014 Вот поискал еще одной программкой деинсталлируйте. DNS Вы прописывали? 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Что это? c:\armorgnco\server.exe Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\armorgnco\server.exe'); SetServiceStart('BDEnhanceBoost', 4); QuarantineFile('c:\armorgnco\server.exe',''); QuarantineFileF('C:\* ','*.bat; *.bat.exe ',true ,' ',0 ,0 ,'24.11.2014','26.11.2014 ',' ',' '); DeleteFileMask('C:\Program Files\ ','*.bat ',false ,' '); DeleteFileMask('C:\Program Files\ ','*.bat.exe ',false ,' '); DeleteFileMask('C:\ ','*.bat ',false ,' '); DeleteFileMask('C:\ ','*.bat.exe ',false ,' '); DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys','32'); DeleteFile('C:\Program Files\Google\chrome.bat','32'); DeleteFile('C:\Users\mavrus\AppData\Local\Yandex\browser.bat','32'); DeleteFileMask('C:\Users\mavrus\AppData\Roaming\Baidu\ ','* ',true ,' '); DeleteDirectory('C:\Users\mavrus\AppData\Roaming\Baidu\ ',' '); DeleteFileMask('C:\ProgramData\Baidu\ ','* ',true ,' '); DeleteDirectory('C:\ProgramData\Baidu\ ',' '); DeleteService('BDEnhanceBoost'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cf30d60cbe118acce95b8f00242dc99f&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yandex.ru/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cf30d60cbe118acce95b8f00242dc99f&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cf30d60cbe118acce95b8f00242dc99f&text= Исправьте ярлыки в FixerBro http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647500 Сделайте новые логи по правилам (только пункт 3).
maavrus141 Опубликовано 27 ноября, 2014 Автор Опубликовано 27 ноября, 2014 c:\armorgnco\server.exe - эта программа для создания отчетов DNS - я все удалил. Не мои они. Новый лог прикрепил. CollectionLog-2014.11.27-18.09.zip
maavrus141 Опубликовано 28 ноября, 2014 Автор Опубликовано 28 ноября, 2014 Еще такой вопрос. У меня на диске C есть такие скрытые файлы смотрите скрин. Могу я их удалить? ComboFix.txt
mike 1 Опубликовано 28 ноября, 2014 Опубликовано 28 ноября, 2014 Да, удаляйте их. Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. KillAll:: File:: C:\lаunсhеr.bаt.exe C:\iехplоrе.bаt.exe Driver:: Folder:: c:\users\mavrus\AppData\Roaming\Baidu c:\programdata\Baidu Registry:: FileLook:: DirLook:: Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти