искал лекарство - нашел вирус!

[akrav]

конечно я запустил вирус, его не ловит Каспер 6.0 с последними базами. Признаки заражения - автораны везде! Но у меня остались файлы, которые запустил. Могу поделится...

Правила читал, все 3 лога и вредоносные файлы приложил. Надеюсь на Касперыча...

[pig]

Нету логов.

[akrav]

Я все закачала по ссылке "прислать в запрошенный карантин".

Отключил определение оболочки оборудования и такс менеджер, а еще восстановление системы. Выкосил в ручную все автораны и корзины на дисках. Однако базы Касперыча не обновляются...

[Гриша]

Вы логи зачем прислали по красной ссылке?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('D:\RECYCLER\S-7-8-30-100004960-100023364-100021200-8805.com','');
 QuarantineFile('C:\RECYCLER\S-7-8-30-100004960-100023364-100021200-8805.com','');
 DeleteFile('C:\RECYCLER\S-7-8-30-100004960-100023364-100021200-8805.com');
 DeleteFile('D:\RECYCLER\S-7-8-30-100004960-100023364-100021200-8805.com');
 DeleteFile('C:\autorun.inf');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);    
SetAVZPMStatus(true);    
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[akrav]

Еще могу залить файлы, которыми заразился...

[Гриша]

Пофиксить

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{253BF7EB-4125-45E1-AFA8-07F04A0BC8DF}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2C6E400-EABC-4328-B561-FF548B80D9E1}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{C75EE53F-0370-43E2-A5D6-DADEF6C1D58C}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2133514-AC54-4EBD-9E83-B1FD166820C2}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{253BF7EB-4125-45E1-AFA8-07F04A0BC8DF}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\..\{253BF7EB-4125-45E1-AFA8-07F04A0BC8DF}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40

Повторите лог HJT...

[akrav]

Антивирус обновился. Но ту самую заразу, которой и заразился, антивир не видит!

Большое спасибо!

[Гриша]

crack.wolfram.mathematica.7.0.exe-Trojan.Packed.365

Касперский пока не детектирует...

В логах чисто, установите SP3+all updates...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. d:\учеба\spark dc\keyloggers\actmon-cm-setup.exe - not-a-virus:Monitor.Win32.ActMon.511
  2. d:\учеба\spark dc\keyloggers\familykeylogger-setup.exe - not-a-virus:Monitor.Win32.FamilyKeyLogger.283 (DrWEB: Trojan.MulDrop.1870)
  3. \logs\virus\crack.wolfram.mathematica.7.0.exe - Rootkit.Win32.TDSS.eyj (DrWEB: archive: Trojan.Packed.365)
  4. \logs\virus\keygen.wolfram.mathematica.7.0.exe - Rootkit.Win32.TDSS.eyj (DrWEB: archive: Trojan.Packed.365)
  5. \logs\virus\serial.wolfram.mathematica.7.0.exe - Rootkit.Win32.TDSS.eyj (DrWEB: archive: Trojan.Packed.365)