xXzeLize Опубликовано 21 июня, 2015 Опубликовано 21 июня, 2015 Доброго времени суток! После того, как засунул зараженную флешку в свой комп, произошло такое: 1) Появилось много процессов calc.exe*32, которые жрут оперативку 2)На компе появился вирус, который на флешках файлы превращает в ярлыки И еще когда пытаюсь открыть любой файл блокнота, то он после открытия сразу же закрывается CollectionLog-2015.06.21-22.16.zip
thyrex Опубликовано 21 июня, 2015 Опубликовано 21 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Michael\appdata\roaming\c731200',''); QuarantineFile('C:\Users\Michael\appdata\roaming\update\explorer.exe',''); QuarantineFile('C:\Users\Michael\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Michael\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Users\Michael\AppData\Roaming\Microsoft\Windows\themes\Tgfmff.exe',''); QuarantineFile(',C:\Users\Michael\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Windows\system32\drivers\{e01f243d-3dd9-4978-bbc5-bfc91d704535}Gw64.sys',''); DeleteService('{e01f243d-3dd9-4978-bbc5-bfc91d704535}Gw64'); DeleteFile('C:\Windows\system32\drivers\{e01f243d-3dd9-4978-bbc5-bfc91d704535}Gw64.sys','32'); DeleteFile(',C:\Users\Michael\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); DeleteFile('C:\Users\Michael\AppData\Roaming\Microsoft\Windows\themes\Tgfmff.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tgfmff'); DeleteFile('C:\Users\Michael\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command'); DeleteFile('C:\Users\Michael\AppData\Roaming\WindowsUpdate\Updater.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command'); DeleteFile('C:\Users\Michael\appdata\roaming\update\explorer.exe','32'); DeleteFile('C:\Users\Michael\appdata\roaming\c731200','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам
xXzeLize Опубликовано 21 июня, 2015 Автор Опубликовано 21 июня, 2015 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. c731200,explorer.exe,Tgfmff.exe,Updater.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.MSupdate.exe - Backdoor.Win32.Androm.hhuoДетектирование файла будет добавлено в следующее обновление.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. c731200,explorer.exe,Tgfmff.exe,Updater.exeA set of unknown files has been received. They will be sent to the Virus Lab.MSupdate.exe - Backdoor.Win32.Androm.hhuoNew malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------From: Sent: 6/21/2015 1:26:08 PMTo: newvirus@kaspersky.comSubject: [KLAN-2889177627] Сообщение от модератора Mark D. Pearlstone Адрес почты пользователя удалён. Вот новые логи CollectionLog-2015.06.21-23.41.zip CollectionLog-2015.06.21-23.41.zip
thyrex Опубликовано 21 июня, 2015 Опубликовано 21 июня, 2015 Удалите в МВАМ все, кроме Hacktool.CheatEngine, C:\Users\Michael\Desktop\Inv.Steamv.EXE, , [2135febf29615cda63003408857be61a], Riskware.Injector.DC, C:\Users\Michael\Desktop\Extreme Injector v2 by master131.exe, , [d086427b72183cfa6081c44a56acdd23], Hacktool.CheatEngine, C:\Users\Michael\Desktop\FIFA 15-TRAINER BUILD04.EXE, , [3f1709b4d1b92d09d0930a3290707c84], PUP.Optional.OpenCandy, C:\Users\Michael\Downloads\DTLite4491-0356.exe, , [4c0a4c7167236dc913e5f67ad82e30d0], RiskWare.Tool.CK, C:\Users\Michael\Downloads\FastStone Capture 7.2 [Eng+Rus] + Portable [Rus].rar, , [3d19fdc07812b4827905d8ecf70bd927], Hacktool.CheatEngine, C:\Users\Michael\Downloads\fifa 15 trainer.rar, , [272f6558e6a4e650333043f95da3fa06], PUP.Optional.Bundle, C:\Users\Michael\Downloads\fifa-15-ing-ver 1 0.exe, , [ec6a3d802c5e36001ee755ac6d9515eb], PUP.Optional.Softonic, C:\Users\Michael\Downloads\SoftonicDownloader_for_kmplayer.exe, , [91c5972625652f075245d18bc13f06fa], RiskWare.Tool.HCK, C:\Users\Michael\Downloads\Sony Vegas Pro.rar, , [74e2edd05931b77f8c8d9aba8a78f709], Trojan.MSIL.Agent, C:\Users\Michael\Downloads\SteamSpamer_v1.5.1-[PC-RET]-(+Source_Code).zip, , [e175a716d6b425111fc18bc812f004fc], PUP.Optional.ELEX, C:\Users\Michael\Downloads\yet_another_cleaner_sk_4110257.exe, , [1f37b5086f1ba88e173ed5af58ae46ba], HackTool.Agent.Steam, C:\Users\Michael\Downloads\Steam_Games_Checker_v1.6_boyring-[PC-RET].zip, , [3224a9146129da5c1278044b4bb754ac], Hacktool.CheatEngine, C:\Users\Michael\Downloads\fifa15-minitrainer.rar, , [1640cfee3f4b73c3a9ba3507bc4413ed], Hacktool.CheatEngine, C:\Users\Michael\Downloads\4816652_r4123r4564g3402b2149n2968k455z1750.rar, , [75e18538d0bafd392a396bd106faa65a], PUP.Optional.Installcore, C:\Users\Michael\Downloads\videoconverter.exe, , [77dff0cd4446ea4c5b89f88eb353f20e], Trojan.MSIL.Injector, C:\Users\Michael\Downloads\Game_Speak v2.0.3 (1).exe, , [45117e3fa5e563d34f9237f08b7b10f0], Trojan.MSIL.Injector, C:\Users\Michael\Downloads\Game_Speak v2.0.3 .exe, , [57ffcdf03159e74f16cbc06749bd3dc3],
xXzeLize Опубликовано 21 июня, 2015 Автор Опубликовано 21 июня, 2015 Огромное спасибо Все проблемы решены
xXzeLize Опубликовано 22 июня, 2015 Автор Опубликовано 22 июня, 2015 И еще такой вопрос: А можно ли с флешки удалить этот вирус? Или он так и останется?
thyrex Опубликовано 22 июня, 2015 Опубликовано 22 июня, 2015 Сделайте лог полного сканирования МВАМ с подключенной флешкой
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти