Junior Member
Вес репутации
43
Множественные ошибки при запуске системы [Trojan.Win32.Agent.tfmi, Trojan.Win32.Jorik.Xtrat.bii
]
Добрый день!
Беспокоит меня следующая проблема:
При каждом запуске системы выскакивает сообщение об ошибке Opera, "приложение будет закрыто", хотя, разумеется, оно и не было запущено. Сообщение об этой ошибке приходится закрывать 5-7 раз, пока оно окончательно не закроется.
Как правило, здесь же бывает и сообщение об ошибке system, причем ссылается ошибка на отсутствие некоего файла mozsqlite3.dll Эта ошибка также закрывается не с первого раза.
Кроме того, при последнем запуске opera, программа открылась на вкладке, которой при выключении не было - в центре пустой странички маленький салатовый баннер с надписью I SEE YOU! Такие вот страсти.
В остальном компьютер работает исправно.
Заранее спасибо за помощь!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) isei , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте.
Выполните скрипт в AVZ (как выполнить) :
Код:
begin
ClearQuarantine;
TerminateProcessByName('c:\programdata\msn.exe');
TerminateProcessByName('c:\users\max\appdata\local\temp\msn!.exe');
QuarantineFile('C:\Windows\yahooI\ubdate.exe','');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
QuarantineFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.exe','');
QuarantineFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chat.exe','');
QuarantineFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\75714755c4acb877970eb794b86a7299.exe','');
QuarantineFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\690f9da011bfec4c89884a0534a9a5fe.exe','');
QuarantineFile('C:\Users\Max\AppData\Local\Temp\msn!.exe ..','');
QuarantineFile('C:\ProgramData\MSN.exe ..','');
DeleteFile('C:\ProgramData\MSN.exe ..');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','75714755c4acb877970eb794b86a7299');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','75714755c4acb877970eb794b86a7299');
DeleteFile('C:\Users\Max\AppData\Local\Temp\msn!.exe ..');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','690f9da011bfec4c89884a0534a9a5fe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','690f9da011bfec4c89884a0534a9a5fe');
DeleteFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\690f9da011bfec4c89884a0534a9a5fe.exe');
DeleteFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\75714755c4acb877970eb794b86a7299.exe');
DeleteFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chat.exe');
DeleteFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.exe');
DeleteFile('C:\Windows\yahooI\ubdate.exe');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Junior Member
Вес репутации
43
Скрипт выполнен, карантин отправлен, логи прилагаю.
Вложения
Выполните скрипт в AVZ (как выполнить) :
Код:
begin
ClearQuarantine;
TerminateProcessByName('c:\users\max\appdata\local\temp\skype.exe');
QuarantineFile('C:\Windows\yahooI\ubdate.exe','');
QuarantineFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9975759809ee69cc2d0562054d998149.exe','');
QuarantineFile('C:\Users\Max\AppData\Local\Temp\skype.exe ..','');
DeleteFile('C:\Users\Max\AppData\Local\Temp\skype.exe ..');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9975759809ee69cc2d0562054d998149');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','9975759809ee69cc2d0562054d998149');
DeleteFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9975759809ee69cc2d0562054d998149.exe');
DeleteFile('C:\Windows\yahooI\ubdate.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HKLM');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
DeleteFileMask('C:\Windows\yahooI','*', true);
DeleteDirectory('C:\Windows\yahooI');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteWizard('SCU', 2, 2, true);
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Junior Member
Вес репутации
43
Скрипт выполнен, карантин отправил, логи прикрепил.
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Выполните скрипт в AVZ (как выполнить) :
Код:
begin
ClearQuarantine;
QuarantineFile('C:\Program Files (x86)\yahoo!\ubdate.exe','');
QuarantineFile('C:\Windows\skype\avg.exe','');
QuarantineFile('C:\Users\Max\AppData\Roaming\cliente\cliente!.exe','');
QuarantineFile('C:\Windows\windows System\System.exe','');
QuarantineFile('C:\Users\Max\AppData\Roaming\yahoo\yahoo.exe','');
QuarantineFile('C:\Program Files (x86)\skype\skype.exe','');
QuarantineFile('C:\Windows\system32\MSDCSC\msdcsc.exe','');
DeleteFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chat.exe');
DeleteFile('C:\Windows\system32\MSDCSC\msdcsc.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicroUpdate');
DeleteFile('C:\Windows\yahooI\ubdate.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HKLM');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
DeleteFile('C:\Windows\system32\yahoo\yahoo.exe');
DeleteFile('C:\Windows\windows System\System.exe');
DeleteFile('C:\Users\Max\AppData\Roaming\cliente\cliente!.exe');
DeleteFile('C:\Users\Max\AppData\Roaming\yahoo\yahoo.exe');
DeleteFile('C:\Windows\skype\avg.exe');
DeleteFile('C:\Program Files (x86)\yahoo!\ubdate.exe');
DelCLSID('{S3OD0JSF-HIQK-IL71-130G-J203A3IQF37C}');
DelCLSID('{L7NH20V4-FB34-8XWW-EXO3-HRKO3WFQA66R}');
DelCLSID('{56VN3F46-2UIK-4G2N-S0C3-8Q3N621X28VJ}');
DelCLSID('{KHFLD428-2CN3-5350-CQBF-Y12V5E6BU1X1}');
DelCLSID('{HFPY64K7-107T-VY83-78P0-YGYL6S12IOCC}');
DelCLSID('{7V702G73-ADG0-V722-2JR7-O6GK7Q3EBPKN}');
DelCLSID('{735W674Q-GONK-C1K2-82Y7-R55X8CQ0WTU3}');
DelCLSID('{3D85C3BM-8J46-57K8-5UJB-64775G62R343}');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
SetServiceStart('SSDPSRV', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('TermService', 4);
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.
Junior Member
Вес репутации
43
Скрипты выполнил, карантин отправил, логи прикрепил.
Похоже что помогло, после последнего скрипта при перезагрузке проблема исчезла.
Спасибо за помощь!
Вложения
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::
File::
c:\users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chat.exe
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
43
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
43
Огромное спасибо за помощь!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\\programdata\\msn.exe .. - Trojan.MSIL.Agent.pyv c:\\users\\max\\appdata\\local\\temp\\msn!.exe .. - Trojan.MSIL.Agent.pwh c:\\users\\max\\appdata\\local\\temp\\skype.exe .. - Trojan.MSIL.Agent.qit ( DrWEB: Trojan.DownLoader6.37691 ) c:\\users\\max\\appdata\\roaming\\cliente\\cliente !.exe - Trojan.Win32.Agent.tfmi ( DrWEB: Trojan.DownLoader6.38650 ) c:\\users\\max\\appdata\\roaming\\microsoft\\windo ws\\start menu\\programs\\startup\\chat.exe - Trojan.Win32.Agent.tfmi ( DrWEB: Trojan.DownLoader6.38650 ) c:\\users\\max\\appdata\\roaming\\microsoft\\windo ws\\start menu\\programs\\startup\\windows.exe - Backdoor.Win32.Bifrose.erfq ( DrWEB: BackDoor.Cybergate.1 ) c:\\users\\max\\appdata\\roaming\\microsoft\\windo ws\\start menu\\programs\\startup\\690f9da011bfec4c89884a053 4a9a5fe.exe - Trojan.MSIL.Agent.pwh c:\\users\\max\\appdata\\roaming\\microsoft\\windo ws\\start menu\\programs\\startup\\75714755c4acb877970eb794b 86a7299.exe - Trojan.MSIL.Agent.pyv c:\\users\\max\\appdata\\roaming\\microsoft\\windo ws\\start menu\\programs\\startup\\9975759809ee69cc2d0562054 d998149.exe - Trojan.MSIL.Agent.qit ( DrWEB: Trojan.DownLoader6.37691 ) c:\\users\\max\\appdata\\roaming\\yahoo\\yahoo.exe - Trojan.Win32.Jorik.Xtrat.bii ( DrWEB: Trojan.DownLoader6.40423 ) c:\\windows\\yahooi\\ubdate.exe - Backdoor.Win32.Bifrose.erfq ( DrWEB: BackDoor.Cybergate.1 )