Максим Павельев Опубликовано 16 ноября, 2016 Опубликовано 16 ноября, 2016 стал часто вылетать office, посмотрел журнал событий, все ведет к файлу sdata.dll, почитал про него в инете, оказалось вирус, помогите пожалуйста CollectionLog-2016.11.16-17.07.zip
Sandor Опубликовано 16 ноября, 2016 Опубликовано 16 ноября, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\docume~1\ba06~1\locals~1\temp\nsq4.tmp\d57910e5-702b-4a75-9a59-14c24d4f45e0.exe'); QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\documents and settings\all users\application data\microsoft\adobe\flash player\dc2d2b9a-4d23-4c40-a17f-3678f7530e98', '*', true, '', 0 ,0); QuarantineFileF('c:\documents and settings\канаева\local settings\application data\microsoft\extensions', '*', true, '', 0 ,0); QuarantineFile('c:\docume~1\ba06~1\locals~1\temp\nsq4.tmp\d57910e5-702b-4a75-9a59-14c24d4f45e0.exe', ''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll', ''); QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', ''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Adobe\Flash Player\DC2D2B9A-4D23-4C40-A17F-3678F7530E98\4CEE6409-97B1-4FC6-B4CC-F34067476A87.exe', ''); QuarantineFile('C:\Documents and Settings\Канаева\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe', ''); DeleteFile('c:\docume~1\ba06~1\locals~1\temp\nsq4.tmp\d57910e5-702b-4a75-9a59-14c24d4f45e0.exe', '32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll', '32'); DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Adobe\Flash Player\DC2D2B9A-4D23-4C40-A17F-3678F7530E98\4CEE6409-97B1-4FC6-B4CC-F34067476A87.exe', '32'); DeleteFile('C:\Documents and Settings\Канаева\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe', '32'); DeleteFileMask('c:\program files\kinoroom browser', '*', true); DeleteFileMask('c:\documents and settings\канаева\local settings\application data\microsoft\extensions', '*', true); DeleteDirectory('c:\program files\kinoroom browser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DC2D2B9A-4D23-4C40-A17F-3678F7530E98'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DC2D2B9A-4D23-4C40-A17F-3678F7530E98'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(10); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Загрузите GMER по одной из указанных ссылок:Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробную инструкцию читайте в руководстве.
Максим Павельев Опубликовано 17 ноября, 2016 Автор Опубликовано 17 ноября, 2016 KLAN-5350652235Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.4CEE6409-97B1-4FC6-B4CC-F34067476A87.exe,extsetup.exe,extsetup.log,le,extsetup_0.exeA set of unknown files has been received. They will be sent to the Virus Lab.eula.txtNo malicious code was found in this file.sdata.dll - Worm.Win32.Agent.syjAt the moment this file is detected with the latest antivirus bases.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" log.log
Sandor Опубликовано 17 ноября, 2016 Опубликовано 17 ноября, 2016 (изменено) Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 63k7gmkg.exe случайное имя утилиты (gmer) 63k7gmkg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\yiegd" 63k7gmkg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cubjkao" 63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\yiegd" 63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cubjkao" 63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\yiegd" 63k7gmkg.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cubjkao" 63k7gmkg.exe -reboot И запустите сохранённый пакетный файл cleanup.bat.Внимание: Компьютер перезагрузится! Проверьте систему утилитой - http://support.kaspersky.ru/1956 Сделайте новый лог gmer. Файл quarantine.zip из папки с распакованной утилитой AVZтакже, пожалуйста, отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. После того, как отправите карантин (!): Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ClearQuarantine; QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\1982 Rock Away Your Teardrops.exe',''); QuarantineFile('C:\Documents and Settings\Канаева\Application Data\Mozilla\Firefox\Profiles\1jq9uvbi.default\extensions\sbext@slext.dev', ''); QuarantineFileF('C:\Documents and Settings\All Users\Application Data\srtserv\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ тоже, пожалуйста, отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Изменено 17 ноября, 2016 пользователем Sandor
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти