Help - Search - Members
Full Version: Не лечится вирус опознанный KIS2013 как UDS:DangerousObject.Multi.Generic!
Kaspersky Lab Forum > Для русскоязычных пользователей > Борьба с вирусами
FoggyMan
Здравствуйте!
Система Windows 7 32 bit
Антивирус: Kaspersky Internet Security 2013, обновляется постоянно через интернет.
Проблема в следующем, при запуске Windows срабатывает запуск командной строки, которая в свою очередь запускает Internet Explorer и сайт "http://alt-rutor.org".
Касперский находит вирус в кэше Java и определяет его как "UDS:DangerousObject.Multi.Generic".
Путь где находится опасный объект:
C:\Users\Игорь\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48
(конечная папка может меняться)

Затем удаляет этот объект, но после перезапуска операционки все повторяется.
Сделал лог программой AVZ (в прикрепленном файле), там есть запись о вызове командной строки.
Помогите пожалуйста!
thyrex
Сделайте лог HiJack
FoggyMan
Сделал
thyrex
Очистите кэш Java

Пофиксите в HiiJack
CODE
O4 - HKLM\..\Run: [CMD] cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20130903 (exit) else (start http://alt-rutor.org && exit)


Выполните скрипт в AVZ
CODE
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Java\Adobe Acrobat Update Service.exe','');
DeleteFile('C:\Program Files\Java\Adobe Acrobat Update Service.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Systems, Incor-porated');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
CODE
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи
FoggyMan
Программа AVZ ругается на синтаксис первого скрипта:

Ошибка: ')' expected в позиции 2: 113

Пардон, моя ошибка, заработал!
FoggyMan
Файл отправил на исследование, получил ответ:
KLAN-1014317342

QUOTE
This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order.

Adobe Acrobat Update Service.exe

This file is in process.

Best Regards, Kaspersky Lab

Сделал новые логи AVZ и HiJack (во вложении).

Теперь эксплорер не запускается, видимо после того как пофиксил HiJack.
thyrex
Фикс тут не причем. Что происходит при попытке запустить IE?
FoggyMan
Вроде ничего необычного, запускается стартовая страница (у меня это Яндекс).

Я неправильно сформулировал свой ответ выше, я имел ввиду что проблема с автоматическим запуском IE при старте винды решилась, сайт "http://alt-rutor.org" больше не вылезает, спасибо!
thyrex
Пофиксите в HiJack
CODE
O4 - HKLM\..\Run: [Adobe Systems, Incorporated] C:\Program Files\Java\Adobe Acrobat Update Service.exe
Сделайте новый лог
FoggyMan
Пофиксил, вот новый лог.
thyrex
Порядок
FoggyMan
Спасибо, большое!)))
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2017 Invision Power Services, Inc.