alex713 Опубликовано 28 марта, 2017 Опубликовано 28 марта, 2017 Скачал какой то файл. Стали появляться множественные вирусы *.tmp.exe. Вирус вписался в файл rundll32.exe. Его удаление черевато обрушением системы. Помогите пожалуйста. CollectionLog-2017.03.26-20.11.zip
regist Опубликовано 28 марта, 2017 Опубликовано 28 марта, 2017 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFileF('C:\Documents and Settings\All Users\Application Data\1372R22T20B9037\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); ExecuteFile('schtasks.exe', '/delete /TN "1372R22T20B9037.job" /F', 0, 15000, true); DeleteFileMask('C:\Documents and Settings\All Users\Application Data\1372R22T20B9037\', '*', true); DeleteDirectory('C:\Documents and Settings\All Users\Application Data\1372R22T20B9037\'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Профиксите в HijackThis O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - MSConfig\startupreg: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun (file missing) (HKCU) (2015/11/28) O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file) O8 - Extra context menu item: Закачать при помощи Download Master - (no file) O8 - Extra context menu item: Передать на удаленную закачку DM - (no file) O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) (HKLM) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
alex713 Опубликовано 29 марта, 2017 Автор Опубликовано 29 марта, 2017 Здравствуйте. Все сделал. Пока вирусы не появлялись. Посмотрю, что дальше будет. Прикрепляю Отчёт о работе утилиты ClearLNK. Повторные логи. Ответ с newvirus@kaspersky.com: [KLAN-6032321372] Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В следующих файлах обнаружен вредоносный код:1372R22T20B9037.dll - HEUR:Trojan.Win32.GenericФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ"Ленинградское шоссе 39A/3, Москва, 125212, RussiaТелефон/Факс: + 7 (495) 797 8700http://www.kaspersky.com http://www.viruslist.com" ClearLNK-29.03.2017_16-26.log CollectionLog-2017.03.29-17.22.zip
regist Опубликовано 29 марта, 2017 Опубликовано 29 марта, 2017 (изменено) Яндекс.Бар 6.7 для Internet Explorer [20130104]-->MsiExec.exe /X{11EA1C75-DB0D-410B-B63B-20916EECD568} Если не используется, то деинсталируйте. Сделайте такой лог. Изменено 29 марта, 2017 пользователем regist
alex713 Опубликовано 29 марта, 2017 Автор Опубликовано 29 марта, 2017 Иногда используется. А с остальным все нормально?
regist Опубликовано 29 марта, 2017 Опубликовано 29 марта, 2017 А с остальным все нормально? Да, но чтоб убедиться, что ничего не осталось, сделайте лог MBAM. Ссылку как делать дал в предыдущем сообщение.
regist Опубликовано 30 марта, 2017 Опубликовано 30 марта, 2017 1) Поместите в карантин MBAM всё кроме RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Проигнорировано пользователем, [371], [352776],1.0.1628 2) Деинсталируйте MBAM. 3) Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти