-
Junior Member
- Вес репутации
- 48
Вирус Trojan:Win32/Vundo.MF
Здравствуйте, помогите пожалуйста избавиться от вируса Trojan:Win32/Vundo.MF. Антивирусы его не находят, а защитник виндовс видит, но не удаляет. На компе появилось лишь одно видимое изменение: когда открываю мозилу, кроме яндекса выходит вторая вкладка с регистрацией на сайте "Интернет-Анкета".
Скачал AVZ, сделал скрипт лечения/карантина... Прилагаю архив с получившимся.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\conime32.exe','');
QuarantineFile('C:\Windows\system32\mnkuak32.dll','');
TerminateProcessByName('c:\users\Никита1\appdata\roaming\netprotocol.exe');
QuarantineFile('c:\users\Никита1\appdata\roaming\netprotocol.exe','');
DeleteFile('c:\users\Никита1\appdata\roaming\netprotocol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFile('C:\Windows\system32\conime32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Test System Key');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Скрипт выполнил, карантин прислал, новые логи прилагаю, лог полного сканирования MBAM скоро тоже пришлю
-
Junior Member
- Вес репутации
- 48
Вот лог MBAM:
И вопрос: надо ли удалять все зараженные объекты, которые просканировал MBAM???
-
Удалите в МВАМ только указанные строки
Код:
Заражённые модули в памяти:
c:\Windows\System32\spool\prtprocs\w32x86\mnkuak32.dll (Trojan.Agent) -> No action taken.
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{C3C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{BC4BE15D-6A34-4356-9E97-79E43DA32B1D} (Adware.Shopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8E3F8C12-B0EA-4267-A71D-0562FD1971B1} (Adware.Shopper) -> No action taken.
HKEY_CLASSES_ROOT\Toolbar.CT1210541 (Adware.Shopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8E3F8C12-B0EA-4267-A71D-0562FD1971B1} (Adware.Shopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BC4BE15D-6A34-4356-9E97-79E43DA32B1D} (Adware.Shopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{BC4BE15D-6A34-4356-9E97-79E43DA32B1D} (Adware.Shopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4BE15D-6A34-4356-9E97-79E43DA32B1D} (Adware.Shopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{C3C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} (Trojan.Agent) -> Value: {C3C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{BC4BE15D-6A34-4356-9E97-79E43DA32B1D} (Adware.Shopper) -> Value: {BC4BE15D-6A34-4356-9E97-79E43DA32B1D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{BC4BE15D-6A34-4356-9E97-79E43DA32B1D} (Adware.Shopper) -> Value: {BC4BE15D-6A34-4356-9E97-79E43DA32B1D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{BC4BE15D-6A34-4356-9E97-79E43DA32B1D} (Adware.Shopper) -> Value: {BC4BE15D-6A34-4356-9E97-79E43DA32B1D} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Value: {bc4be15d-6a34-4356-9e97-79e43da32b1d} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Value: {bc4be15d-6a34-4356-9e97-79e43da32b1d} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Value: {bc4be15d-6a34-4356-9e97-79e43da32b1d} -> No action taken.
Заражённые файлы:
c:\Windows\System32\spool\prtprocs\w32x86\mnkuak32.dll (Trojan.Agent) -> No action taken.
c:\Windows\System32\mnkuak32.dll (Trojan.Agent) -> No action taken.
c:\Users\Никита1\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\FY2CH6Z3\netprotocol[1].exe (Heuristics.Shuriken) -> No action taken.
c:\Users\Никита1\AppData\Local\Temp\0.9747439164508293.exe (Heuristics.Shuriken) -> No action taken.
c:\Windows\System32\hosts (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Все удалил, но пишет, что некоторые объекты удалить невозможно. комп перезагрузил, все осталось как было(
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
В 3 и 4 сообщениях выложил все, что есть... все логи там вроде
-
Лог МВАМ после удаления нужен
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
После сканирования появляется этот лог, других нет
-
А Вы повторное сканирование сделайте. Прикрепляете старый лог с датой
28.04.2011 20:38:01
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 48
Вот лог повторного сканирования
-
Junior Member
- Вес репутации
- 48
пишет, что все чисто, но вкладка в браузере и уведомление защитника виндоус продолжают вылезать
-
Прикрепите 3 новых лога согласно правил. Хайджека не было ни в одном из постов.
Paula rhei.
Поддержать проект можно тут
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\никита1\\appdata\\roaming\\netprotocol. exe - Trojan.Win32.Jorik.Buterat.au ( DrWEB: Trojan.Hottrend, BitDefender: Trojan.Generic.6527608, AVAST4: Win32:Kryptik-BYM [Trj] )
-