Решена KIS срабатывал на один и тот же файл

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Kirevg, 14 сен 2012.

Статус темы:
Закрыта.
  1. Kirevg
    Оффлайн

    Kirevg Активный пользователь

    Сообщения:
    34
    Симпатии:
    0
    Здравствуйте.
    2 раза KIS срабатывал на один и тот же файл через сутки после установки программы.
     

    Вложения:

    • info.txt
      Размер файла:
      93,3 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      58,8 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      52 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      48,1 КБ
      Просмотров:
      1
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.094
    Симпатии:
    194
    Приветствую Kirevg, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
    1 человеку нравится это.
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Какой файл? Какой программы?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('F:\Temp\13018.exe','');
     DeleteFile('F:\Temp\13018.exe');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'system', '');
    ExecuteSysClean;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
    Последнее редактирование: 14 сен 2012
    1 человеку нравится это.
  4. Kirevg
    Оффлайн

    Kirevg Активный пользователь

    Сообщения:
    34
    Симпатии:
    0
    Высылаю лог Malwarebytes Anti-Malware.
     

    Вложения:

  5. Kirevg
    Оффлайн

    Kirevg Активный пользователь

    Сообщения:
    34
    Симпатии:
    0
    immodder.exe программы I'm Modder V3
    Он находится сейчас на карантине в KIS.
     
  6. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Это для игры в покер

    Если эти тулбары FUNWEBPRODUCTS и MYWEBSEARCH устанавливали не сами, тогда удалите(если МВАМ уже закрыли, то просканируйте заново):
    Сделайте лог SecurityCheck by screen317

    Повторите логи AVZ и Rsit и прикрепите их к сообщению.
     
    Последнее редактирование: 15 сен 2012
    1 человеку нравится это.
  7. Kirevg
    Оффлайн

    Kirevg Активный пользователь

    Сообщения:
    34
    Симпатии:
    0
    Results of screen317's Security Check version 0.99.50
    Windows 7 Service Pack 1 x64 (UAC is disabled!)
    Internet Explorer 9
    ``````````````Antivirus/Firewall Check:``````````````
    Windows Security Center service is not running! This report may not be accurate!
    Kaspersky Internet Security
    Antivirus up to date! (On Access scanning disabled!)
    `````````Anti-malware/Other Utilities Check:`````````
    Malwarebytes Anti-Malware, версия 1.65.0.1400
    Java(TM) 6 Update 29
    Java version out of Date!
    Adobe Flash Player 11.4.402.265
    Adobe Reader X (10.1.4)
    Mozilla Firefox (15.0.1)
    ````````Process Check: objlist.exe by Laurent````````
    Kaspersky Lab Kaspersky Internet Security 2012 avp.exe
    Kaspersky Lab Kaspersky Internet Security 2012 x64 wmi64.exe
    Kaspersky Lab Kaspersky Internet Security 2012 avp.exe
    `````````````````System Health check`````````````````
    Total Fragmentation on Drive C:
    ````````````````````End of Log``````````````````````
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Включите Контроль учетных записей


    Обновите Java


     
    1 человеку нравится это.
  9. Kirevg
    Оффлайн

    Kirevg Активный пользователь

    Сообщения:
    34
    Симпатии:
    0
    Ява обновил, УАК включил, логи прилагаю.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      44,2 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      45,3 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      93,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      58,1 КБ
      Просмотров:
      1
  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Выполните скрипт в AVZ:

    Код (Text):
    procedure FixRegistry;
    begin
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'system', '');
    end;

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SetupAVZ('X64R=NN');
    FixRegistry;
    SetupAVZ('X64R=YY');
    FixRegistry;
    RebootWindows(false);
    end.
    Повторите лог RSIT.

    Подозрительный файл, который удаляется Касперским, возможно действительно злонамеренный. Для проверки отправьте его по формам:

    Запрос в Вирусную лабораторию

    или если являетесь лицензионным пользователем Касперского здесь:

    Личный кабинет
     
    1 человеку нравится это.
  11. Kirevg
    Оффлайн

    Kirevg Активный пользователь

    Сообщения:
    34
    Симпатии:
    0
    Вот сделал.
     

    Вложения:

    • info.txt
      Размер файла:
      93,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      57,2 КБ
      Просмотров:
      2
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    В логах чисто

    Касперские что-нибудь ответили?

    Запакуйте подозрительный файл в архив с паролем virus

    Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.
     
    1 человеку нравится это.
  13. Kirevg
    Оффлайн

    Kirevg Активный пользователь

    Сообщения:
    34
    Симпатии:
    0
    Ответили, что все чисто, вроде.
    Там ситуация такая:
    Я устанавливаю эту программу с дистрибутива, предварительно проверив Каспером и архив, и установщик, и исполняемый файл, непосредственно после установки. Затем через сутки , примерно, появляется сообщение от Каспера, что файл заражен трояном. Так повторялосмь 2 раза.
    Теперь я в третий раз установил эту прогу (я каждый раз скачиваю новый архив с установщиком с сайта производителя). У всех файлов (и архив, и установщик, и исполняемый файл,) теперь "сфотографированы" хеш суммы.
    Посмотрим, что будет через сутки, через двое.
    Хеш суммы у файлов отличались (у тех что новые и зараженные)
    Да! Одие важный момент. После того как Каспер говорит о заражении, если проверять установщик и архив, то они тоже являются инфицированными. Такое ощущение, что зловред ищет именно сочетание imod_setup и imodder и заражает их!! Высылаю, то что осталось от последнего "заражения".

    Добавлено через 9 минут 46 секунд
    [​IMG]
    Что то не могу файл отправить.
     
  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Смените расширение у файла например на .ex_ перед упаковкой - ваш сервер исходящей почты видит что внутри архива находится исполняемый файл и запрещает передачу.
     
    1 человеку нравится это.
  15. Kirevg
    Оффлайн

    Kirevg Активный пользователь

    Сообщения:
    34
    Симпатии:
    0
    Отправил.
     
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Сегодня уже не посмотрю, дождитесь других хелперов или завтрашнего дня
     
    1 человеку нравится это.
  17. Kirevg
    Оффлайн

    Kirevg Активный пользователь

    Сообщения:
    34
    Симпатии:
    0
    Ну что то есть?
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Что именно отправляли?

    Это ЛК
     
  19. Kirevg
    Оффлайн

    Kirevg Активный пользователь

    Сообщения:
    34
    Симпатии:
    0
    Что такое ЛК?
    Мне еще что то нужно сделать?
     
  20. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    Лаборатория Касперского.
     
Статус темы:
Закрыта.

Поделиться этой страницей