Троян класса Generic

[CptNemo]

Сегодня после работы на одном из компьютеров всплыло сообщение о вирусе, после перезагрузки были обнаружены следущие симтомы:

-касперсккий оттрабанил. что был обнаружен троян.дженерик, что он пытается внедрить себя в автозагрузку

-после запрета всплыло сообщение, с предложением отката, однако не удалось произвести откат

- на рабочем столе вместо обоев висела надпись на английском, что обнаружено шпионское по и рекомендацией по установке антивируса или анти шпионского по(в безопасном режиме отсутсвует)

-все точки отката системы стёрты

-исчезли пункты в свойтвах экрана рабочий стол и завставка(в безопасном режиме отсутсвует)

-если верить свойствам диска с то с него происходит удаление информации и данных.....

сигнатуры угроз были свежие от сегоднешнего числа....

вообщем сос

[Kapral]

Добро пожаловать на форум

 

Выполните требования ЧИТАТЬ ПЕРЕД СОЗДАНИЕМ ТЕМЫ! (если ваш компьютер заражен)

[CptNemo]

hijackthis.rar

 

virusinfo_syscheck.zip

 

 

Вот сделал..извините, всегда правила, чиаю но сейчас не знал , за что хвататься. впервые у меня такое....

Изменено 15 августа, 2008 пользователем CptNemo

[Максим]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Юлия\Local Settings\Temporary Internet Files\Content.IE5\SVJJA8T1\Tet-A-Tet[1].exe');
DeleteFile('C:\WINDOWS\system32\blphc5dej0e3al.scr');
DeleteFile('C:\WINDOWS\system32\lphc5dej0e3al.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Secdrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Пофиксите в HijackThis

O4 - HKLM\..\Run: [Tet-a-Tet] C:\Documents and Settings\Юлия\Local Settings\Temporary Internet Files\Content.IE5\SVJJA8T1\Tet-A-Tet[1].exe -m
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [lphc5dej0e3al] C:\WINDOWS\system32\lphc5dej0e3al.exe

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

 

Повторите логи.

 

Так как мы не знаем что это был за троян, поменяйте на всякий случай пароли.

[CptNemo]

скрипт ошибок не выдал, всё сделал

O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun

это пофиксил, хотя девдектор был частью асидиси, остального не было....

посл работы мастера исправлений вроде все симтомы исчесли, а исчезновение файлов прекратилось после первого пробега авз

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

[Максим]

В логах всё нормально.

это пофиксил, хотя девдектор был частью асидиси, остального не было....

Прошу прощения. Указанную строчку можно восстановить. Запустите HijackThis, нажмите кнопку "View the list of backups". Отметьте то, что хотите вернуть и нажмите "Restore".

[CptNemo]

верну, огромное вам спасибо за помощь....

[vista]

Люди, помогите, пожалуйста!

Купила веб-камеру,пока её подключала выскочило окошко:

и что мне теперь с ним делать?

выбор маленький...не хочу ни пропускать, ни добавлять...

КИС пишет, что всё удалено и обезврежено...

[Евгений Малинин]

Люди, помогите, пожалуйста!

Купила веб-камеру,пока её подключала выскочило окошко:

и что мне теперь с ним делать?

выбор маленький...не хочу ни пропускать, ни добавлять...

КИС пишет, что всё удалено и обезврежено...

Я так понял, это с диска с драйверами... Если да, то это ложное срабатывание. Отправьте файл, на который среагировала проактивная защита на newvirus<собачка>kaspersky.com (файл следует отправлять в архиве с паролем, пароль указать в письме. Также, в письме следует описать модель веб-камеры и ситуацию, когда появилось это предупреждение. В поле "тема" письма укажите "ложнос срабатывание").

Чуть не забыл, в письме, также нужно указать версию приложения.

[vista]

Я так понял, это с диска с драйверами... Если да, то это ложное срабатывание. Отправьте файл, на который среагировала проактивная защита на newvirus<собачка>kaspersky.com (файл следует отправлять в архиве с паролем, пароль указать в письме. Также, в письме следует описать модель веб-камеры и ситуацию, когда появилось это предупреждение. В поле "тема" письма укажите "ложнос срабатывание").

Чуть не забыл, в письме, также нужно указать версию приложения.

 

Спасибо.

отправила.только файл не могу загрузить, т.к. слишком большой.

[Евгений Малинин]

Файл как раз-таки надо. Если он слишком большой (более 10 мегабайт), то выложите ссылку на него на какой-либо файлообменник, нипример, сюда: http://depositfiles.com , после чего отправьте письмо туда же, с описанием и ссылкой на файл. Отправлять необходимо в архиве с паролем, пароль обязательно нужно указать при отправке на newvirus<собачка>kaspersky.com

Изменено 21 августа, 2008 пользователем Евгений Малинин