Ransom, Hoax

[tigr62]

Windows 7 Не загружался рабочий стол после лечения Лайв_СД Касперского всё загрузилось
В папках Оперы, Мозилы и IE8 обнаружен файл setupapi.dll (Trojan.Win32.BHO.bjxl)

посмотрите пожалуйста логи

Код:

Проверка объектов: завершено 2 минуты назад   (событий: 375, объектов: 1468131, время: 02:33:51)    
27.04.11 19:52    Задача запущена            
27.04.11 20:02    Обнаружено: Trojan-Dropper.Win32.Pakes.eu    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Google/Chrome/Application/4.0.237.0/null0.6015402475699225.exe/UPX        
  
27.04.11 21:40    Обнаружено: Trojan-Ransom.Win32.Gimemo.ja    C:/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/62/20cb43fe-21180c9c/UPX        
27.04.11 21:40    Не вылечено: Trojan-Ransom.Win32.Gimemo.ja    C:/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/62/20cb43fe-21180c9c/UPX    Отложено    
27.04.11 21:40    Обнаружено: Trojan-Ransom.Win32.Gimemo.ja    C:/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/62/20cb43fe-5593e8c4/UPX        
27.04.11 21:40    Не вылечено: Trojan-Ransom.Win32.Gimemo.ja    C:/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/62/20cb43fe-5593e8c4/UPX    Отложено    
27.04.11 21:43    Обнаружено: Hoax.Win32.ArchSMS.hkpq (проверка по базе подозрительных веб-адресов)    C:/Users/ПК/Desktop/FLAMBO777.RU_files/Nero Premium Edition v7.9.6.0 (ENG & RUS)_374797-10906.zip.exe        
27.04.11 21:43    Не вылечено: Hoax.Win32.ArchSMS.hkpq (проверка по базе подозрительных веб-адресов)    C:/Users/ПК/Desktop/FLAMBO777.RU_files/Nero Premium Edition v7.9.6.0 (ENG & RUS)_374797-10906.zip.exe    Отложено    
27.04.11 21:43    Обнаружено: Hoax.Win32.ArchSMS.hkpq (проверка по базе подозрительных веб-адресов)    C:/Users/ПК/Desktop/то что предстоит/Aquarium Screensaver 1.24 Final Portable_065245-.zip.exe        
27.04.11 21:43    Не вылечено: Hoax.Win32.ArchSMS.hkpq (проверка по базе подозрительных веб-адресов)    C:/Users/ПК/Desktop/то что предстоит/Aquarium Screensaver 1.24 Final Portable_065245-.zip.exe    Отложено    
27.04.11 21:44    Обнаружено: Hoax.Win32.ArchSMS.pik (проверка по базе подозрительных веб-адресов)    C:/Users/ПК/Desktop/фот/Piknik - shablon dlya Photoshop_152998-.zip.exe


  
27.04.11 22:25    Удалено: Trojan-Dropper.Win32.Pakes.eu    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Google/Chrome/Application/4.0.237.0/null0.6015402475699225.exe        
27.04.11 22:25    Обнаружено: Trojan-Ransom.Win32.Gimemo.ja    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Temp/0.3604335325615061.exe/UPX        
27.04.11 22:25    Удалено: Trojan-Ransom.Win32.Gimemo.ja    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Temp/0.3604335325615061.exe        
27.04.11 22:25    Обнаружено: Trojan-Ransom.Win32.Gimemo.ja    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Temp/0.7529294443630842.exe/UPX        
27.04.11 22:25    Удалено: Trojan-Ransom.Win32.Gimemo.ja    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Temp/0.7529294443630842.exe        
27.04.11 22:25    Обнаружено: Trojan-Ransom.Win32.Gimemo.iz    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Temp/0.9807661575409877.exe/UPX        
27.04.11 22:25    Удалено: Trojan-Ransom.Win32.Gimemo.iz    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Temp/0.9807661575409877.exe        
27.04.11 22:25    Обнаружено: Trojan-Dropper.Win32.Pakes.eu    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Temp/jar_cache3458484949443104435.tmp/UPX        
27.04.11 22:25    Удалено: Trojan-Dropper.Win32.Pakes.eu    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Temp/jar_cache3458484949443104435.tmp        
27.04.11 22:25    Обнаружено: Trojan-Downloader.Java.Agent.gn    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Temp/jar_cache9048880656371252393.tmp/aa549daeeb4.class        
27.04.11 22:25    Удалено: Trojan-Downloader.Java.Agent.gn    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/Local/Temp/jar_cache9048880656371252393.tmp        
27.04.11 22:25    Обнаружено: Trojan-Ransom.Win32.Gimemo.iz    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/1/45d3fe01-5c7274e2/UPX        
27.04.11 22:25    Удалено: Trojan-Ransom.Win32.Gimemo.iz    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/1/45d3fe01-5c7274e2        
27.04.11 22:25    Обнаружено: Trojan-Downloader.Java.OpenConnection.cw    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/3/29db7c03-20a859fe/Rleh/Ktulhu.class        
27.04.11 22:25    Удалено: Trojan-Downloader.Java.OpenConnection.cw    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/3/29db7c03-20a859fe        
27.04.11 22:25    Обнаружено: Exploit.Java.CVE-2010-0840.e    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/32/1946f6a0-38f69f8d/lort/border.class        
27.04.11 22:25    Обнаружено: Exploit.Java.CVE-2010-0840.e    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/32/1946f6a0-38f69f8d/lort/cooter.class        
27.04.11 22:25    Удалено: Exploit.Java.CVE-2010-0840.e    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/32/1946f6a0-38f69f8d        
27.04.11 22:25    Обнаружено: Trojan-Downloader.Java.OpenConnection.cw    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/37/34cc965-3580e34b/Rleh/Ktulhu.class        
27.04.11 22:25    Удалено: Trojan-Downloader.Java.OpenConnection.cw    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/37/34cc965-3580e34b        
27.04.11 22:25    Обнаружено: Trojan-Downloader.Java.OpenConnection.cw    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/45/7ac9d52d-1c621fab/Rleh/Ktulhu.class        
27.04.11 22:25    Удалено: Trojan-Downloader.Java.OpenConnection.cw    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/45/7ac9d52d-1c621fab        
27.04.11 22:25    Обнаружено: Trojan-Ransom.Win32.Gimemo.ja    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/62/20cb43fe-21180c9c/UPX        
27.04.11 22:25    Удалено: Trojan-Ransom.Win32.Gimemo.ja    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/62/20cb43fe-21180c9c        
27.04.11 22:25    Обнаружено: Trojan-Ransom.Win32.Gimemo.ja    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/62/20cb43fe-5593e8c4/UPX        
27.04.11 22:25    Удалено: Trojan-Ransom.Win32.Gimemo.ja    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/62/20cb43fe-5593e8c4        
27.04.11 22:25    Обнаружено: Hoax.Win32.ArchSMS.hkpq (проверка по базе подозрительных веб-адресов)    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/Desktop/FLAMBO777.RU_files/Nero Premium Edition v7.9.6.0 (ENG & RUS)_374797-10906.zip.exe        
27.04.11 22:25    Удалено: Hoax.Win32.ArchSMS.hkpq (проверка по базе подозрительных веб-адресов)    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/Desktop/FLAMBO777.RU_files/Nero Premium Edition v7.9.6.0 (ENG & RUS)_374797-10906.zip.exe        
27.04.11 22:25    Обнаружено: Hoax.Win32.ArchSMS.hkpq (проверка по базе подозрительных веб-адресов)    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/Desktop/то что предстоит/Aquarium Screensaver 1.24 Final Portable_065245-.zip.exe        
27.04.11 22:25    Удалено: Hoax.Win32.ArchSMS.hkpq (проверка по базе подозрительных веб-адресов)    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/Desktop/то что предстоит/Aquarium Screensaver 1.24 Final Portable_065245-.zip.exe        
27.04.11 22:25    Обнаружено: Hoax.Win32.ArchSMS.pik (проверка по базе подозрительных веб-адресов)    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/Desktop/фот/Piknik - shablon dlya Photoshop_152998-.zip.exe        
27.04.11 22:25    Удалено: Hoax.Win32.ArchSMS.pik (проверка по базе подозрительных веб-адресов)    /mnt/MountedDevices/PD-53AF8E2C-00000003C6500000/Users/ПК/Desktop/фот/Piknik - shablon dlya Photoshop_152998-.zip.exe        
27.04.11 22:25    Обнаружено: Trojan.Win32.BHO.bjxl    C:/Program Files/Internet Explorer/setupapi.dll        
27.04.11 22:25    Вылечено: Trojan.Win32.BHO.bjxl    HKLM\system\ControlSet001\control\Session Manager\AppCertDlls/DefaultVerifier        
27.04.11 22:25    Вылечено: Trojan.Win32.BHO.bjxl    HKLM\system\ControlSet002\control\Session Manager\AppCertDlls/DefaultVerifier        
27.04.11 22:25    Удалено: Trojan.Win32.BHO.bjxl    C:/Program Files/Internet Explorer/setupapi.dll        
27.04.11 22:25    Обнаружено: Trojan.Win32.BHO.bjxl    C:/Program Files/Mozilla Firefox/setupapi.dll        
27.04.11 22:25    Удалено: Trojan.Win32.BHO.bjxl    C:/Program Files/Mozilla Firefox/setupapi.dll        
27.04.11 22:25    Обнаружено: Trojan.Win32.BHO.bjxl    C:/Program Files/Opera/setupapi.dll        
27.04.11 22:25    Удалено: Trojan.Win32.BHO.bjxl    C:/Program Files/Opera/setupapi.dll        
27.04.11 22:25    Задача завершена

[Nikkollo]

Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/7828
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
F2 - REG:system.ini: Shell=C:\windows\explorer.exe
F2 - REG:system.ini: UserInit=userinit.exe,

Повторите лог HijackThis и приложите в теме.

[tigr62]

Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

Пофиксите в HijackThis:
Повторите лог HijackThis и приложите в теме.

virusinfo_cure.zip загрузил

[Nikkollo]

Файлы в автокарантине чистые.
По логам подозрительного не обнаружил.
Проблемы есть?

[tigr62]

Файлы в автокарантине чистые.
По логам подозрительного не обнаружил.
Проблемы есть?

Проблем нет! Спасибо.

[polword]

установите Пакет обновления 1 (SP1) для Windows 7

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены