Решена KIS срабатывал на один и тот же файл

Статус
В этой теме нельзя размещать новые ответы.

Kirevg

Новый пользователь
Сообщения
34
Реакции
0
Здравствуйте.
2 раза KIS срабатывал на один и тот же файл через сутки после установки программы.
 

Вложения

  • info.txt
    93.3 KB · Просмотры: 1
  • log.txt
    58.8 KB · Просмотры: 1
  • virusinfo_syscure.zip
    52 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    48.1 KB · Просмотры: 1
Приветствую Kirevg, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 
на один и тот же файл через сутки
Какой файл? Какой программы?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('F:\Temp\13018.exe','');
 DeleteFile('F:\Temp\13018.exe');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'system', '');
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
Последнее редактирование:
Высылаю лог Malwarebytes Anti-Malware.
 

Вложения

  • mbam-log-2012-09-15 (02-38-49).txt
    11.4 KB · Просмотры: 2
immodder.exe программы I'm Modder V3
Это для игры в покер

Если эти тулбары FUNWEBPRODUCTS и MYWEBSEARCH устанавливали не сами, тогда удалите(если МВАМ уже закрыли, то просканируйте заново):
Обнаруженные ключи в реестре:
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (PUP.MyWebSearch) -> Действие не было предпринято.
HKCU\SOFTWARE\MyWebSearch (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\FocusInteractive (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Fun Web Products (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\MyWebSearch (PUP.MyWebSearch) -> Действие не было предпринято.
Обнаруженные папки:
C:\Program Files (x86)\FUNWEBPRODUCTS (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\FUNWEBPRODUCTS\ScreenSaver (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\FUNWEBPRODUCTS\SCREENSAVER\Images (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\MYWEBSEARCH (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\MYWEBSEARCH\bar (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\MYWEBSEARCH\bar\History (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\MYWEBSEARCH\bar\Settings (PUP.MyWebSearch) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Program Files (x86)\Uninstall Fun Web Products.dll (PUP.MyWebSearch) -> Действие не было предпринято.
Z:\MyWebFaceSetup2.3.96.3.GRman000.exe (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\MYWEBSEARCH\bar\Settings\s_pid.dat (PUP.MyWebSearch) -> Действие не было предпринято.
Сделайте лог SecurityCheck by screen317

Повторите логи AVZ и Rsit и прикрепите их к сообщению.
 
Последнее редактирование:
Results of screen317's Security Check version 0.99.50
Windows 7 Service Pack 1 x64 (UAC is disabled!)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
Kaspersky Internet Security
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware, версия 1.65.0.1400
Java(TM) 6 Update 29
Java version out of Date!
Adobe Flash Player 11.4.402.265
Adobe Reader X (10.1.4)
Mozilla Firefox (15.0.1)
````````Process Check: objlist.exe by Laurent````````
Kaspersky Lab Kaspersky Internet Security 2012 avp.exe
Kaspersky Lab Kaspersky Internet Security 2012 x64 wmi64.exe
Kaspersky Lab Kaspersky Internet Security 2012 avp.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````
 
Ява обновил, УАК включил, логи прилагаю.
 

Вложения

  • log.txt
    58.1 KB · Просмотры: 1
  • info.txt
    93.3 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    45.3 KB · Просмотры: 0
  • virusinfo_syscure.zip
    44.2 KB · Просмотры: 1
Выполните скрипт в AVZ:

Код:
procedure FixRegistry;
begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'system', '');
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetupAVZ('X64R=NN');
FixRegistry;
SetupAVZ('X64R=YY');
FixRegistry;
RebootWindows(false);
end.

Повторите лог RSIT.

Подозрительный файл, который удаляется Касперским, возможно действительно злонамеренный. Для проверки отправьте его по формам:

Запрос в Вирусную лабораторию

или если являетесь лицензионным пользователем Касперского здесь:

Личный кабинет
 
Вот сделал.
 

Вложения

  • info.txt
    93.3 KB · Просмотры: 0
  • log.txt
    57.2 KB · Просмотры: 2
В логах чисто

Касперские что-нибудь ответили?

Запакуйте подозрительный файл в архив с паролем virus

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.
 
Ответили, что все чисто, вроде.
Там ситуация такая:
Я устанавливаю эту программу с дистрибутива, предварительно проверив Каспером и архив, и установщик, и исполняемый файл, непосредственно после установки. Затем через сутки , примерно, появляется сообщение от Каспера, что файл заражен трояном. Так повторялосмь 2 раза.
Теперь я в третий раз установил эту прогу (я каждый раз скачиваю новый архив с установщиком с сайта производителя). У всех файлов (и архив, и установщик, и исполняемый файл,) теперь "сфотографированы" хеш суммы.
Посмотрим, что будет через сутки, через двое.
Хеш суммы у файлов отличались (у тех что новые и зараженные)
Да! Одие важный момент. После того как Каспер говорит о заражении, если проверять установщик и архив, то они тоже являются инфицированными. Такое ощущение, что зловред ищет именно сочетание imod_setup и imodder и заражает их!! Высылаю, то что осталось от последнего "заражения".

Добавлено через 9 минут 46 секунд

Что то не могу файл отправить.
 
Смените расширение у файла например на .ex_ перед упаковкой - ваш сервер исходящей почты видит что внутри архива находится исполняемый файл и запрещает передачу.
 
Сегодня уже не посмотрю, дождитесь других хелперов или завтрашнего дня
 
Что такое ЛК?
Мне еще что то нужно сделать?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу