Показано с 1 по 17 из 17.

Вирус speed 2. Пожалуйста, помогите! [Trojan.Win32.Menti.otra, Trojan-Dropper.Win32.Dorifel.krc ] (заявка № 126142)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    23.10.2012
    Сообщений
    15
    Вес репутации
    42

    Вирус speed 2. Пожалуйста, помогите! [Trojan.Win32.Menti.otra, Trojan-Dropper.Win32.Dorifel.krc ]

    Доброго времени суток!

    Вирус "speed2" в браузере (Opera), пожалуйста, помогите от него избавиться.

    Операционка Win7 (64 битная)

    Не дает возможности заходить на очень много сайтов и вообще тормозит интернет-серфинг.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Олександр Пулава, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
      ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('svdhalp.exe','');
     QuarantineFileF('C:\Users\Ааз\AppData\Roaming\Kiagcix','*', true,'',0 ,0);
      QuarantineFile('c:\windows\system32\hasplms.exe','');
      QuarantineFile('C:\Users\Ааз\appdata\roaming\netprotocol.exe','');
      QuarantineFile('c:\program files (x86)\proxifier\proxifier.exe','');
      QuarantineFile('C:\Users\Ааз\AppData\Roaming\WON\WON.exe','');
      QuarantineFile('C:\Users\Ааз\AppData\Roaming\Kiagcix\obepgi.exe','');
      QuarantineFile('c:\windows\syswow64\drivers\svchost.exe','');
      QuarantineFile('c:\users\3fdf~1\appdata\local\temp\tmpc78ec8b8\simple.exe','');
      QuarantineFile('c:\users\Ааз\appdata\roaming\clients\clients.exe','');
     DeleteFile('svdhalp.exe');
      DeleteFile('C:\Users\Ааз\AppData\Roaming\Kiagcix\obepgi.exe');
      DeleteFile('C:\Users\Ааз\appdata\roaming\netprotocol.exe');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{BB857F60-CB07-2706-F20F-D11C7A647A22}');
     ClearHostsFile;
      ExecuteRepair(3);
     ExecuteRepair(4);
    BC_ImportAll;
    ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    ProxyServer = 10.108.2.123:33302 сами прописывали ?

    - Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

  5. Это понравилось:


  6. #4
    Junior Member (OID) Репутация
    Регистрация
    23.10.2012
    Сообщений
    15
    Вес репутации
    42
    Огромное вам спасибо за оперативную помощь!

    Опера работает как и должна.

    Высылаю вам повторные логи.

    На счет прокси: он скорее всего когда то таким был, но щас прописан другой.

    Результаты проведения процедуры и загрузки:

    Файл сохранён как 121023_201457_virusinfo_files_OLEXANDR_5086fac1900 c7.zip
    Размер файла 51676741
    MD5 ecdb7e22fd432512c587e11a739eaabf
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Профиксите в HijackThis

    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.108.2.123:33302
    R3 - Default URLSearchHook is missing
    F2 - REG:system.ini: Shell=explorer.exe, svdhalp.exe
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

  8. Это понравилось:


  9. #6
    Junior Member (OID) Репутация
    Регистрация
    23.10.2012
    Сообщений
    15
    Вес репутации
    42
    Профиксил.

    Сделал повторные логи.

    Выслал запрошенный карантин.

    Файл сохранён как 121024_170617_virus_5088200923fe1.zip
    Размер файла 51676741
    MD5 86400e2a39bd54e160cd25cfa835becb
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Скачайте, распакуйте и запустите TDSSKiller:
    http://support.kaspersky.ru/faq/?qid=208636926
    Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)

    Код:
    C:\Users\Ааз\AppData\Roaming\Cipher Prime Studios, Inc.\Cipher Prime Studios, Inc..exe
    C:\Users\Ааз\AppData\Roaming\Clients\Clients.exe
    C:\Users\Ааз\AppData\Roaming\GSC Game World\GSC Game World.exe
    C:\Users\Ааз\AppData\Roaming\Software FX, Inc\Software FX, Inc.exe
    C:\Users\Ааз\AppData\Roaming\WON\WON.exe
    эти файлы/программы вам знакомы ? вы их устанавливали ? в них обнаружен вирус.

    - - - Добавлено - - -

    сделайте полную проверку компьютера с помощью Dr.Web CureIt!

  11. Это понравилось:


  12. #8
    Junior Member (OID) Репутация
    Регистрация
    23.10.2012
    Сообщений
    15
    Вес репутации
    42
    Запустил TDSSKiller, он ругался только на WINDOWS\system32\Drivers\sptd.sys

    C:\Users\Ааз\AppData\Roaming\GSC Game World\GSC Game World.exe
    помню только что устанавливал продукцию GSC Game World
    а остальные программы не устанавливал

    Сделал полную проверку компьютера с помощью Dr.Web CureIt!, он нашел все указаные вами файлы и удалил.
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Олександр Пулава Посмотреть сообщение
    Сделал полную проверку компьютера с помощью Dr.Web CureIt!, он нашел все указаные вами файлы и удалил.
    лечить ничего не предлагал ?

    Обновите ещё раз базы AVZ

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  14. Это понравилось:


  15. #10
    Junior Member (OID) Репутация
    Регистрация
    23.10.2012
    Сообщений
    15
    Вес репутации
    42
    После обнаружения первого зараженного файла он спросил что с ним сделать: я выбрал вылечить и кажется выбрал что бы Dr.Web CureIt лечил и все последующие зараженные файлы, а после проверки уже заметил что он их всех удалил.

    Обновил базы AVZ.

    Сделал повторные логи.
    Вложения Вложения

  16. #11

  17. Это понравилось:


  18. #12
    Junior Member (OID) Репутация
    Регистрация
    23.10.2012
    Сообщений
    15
    Вес репутации
    42
    Сделал лог полного сканирования МВАМ.
    Вложения Вложения

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(true);
      end;
    QuarantineFile('C:\Program Files (x86)\VSHARE.TV PLUGIN\BarLcher.dll', 'MBAM: PUP.VShareRedir');
    QuarantineFile('C:\My programs\Kompas 3D V 13\KOMPAS-3D_V13_antiHASP_v1.0.exe', 'MBAM: PUP.Hacktool.Patcher');
    QuarantineFile('I:\Із старої вінди\Інсталяхи\Програми\Proxifier\keygen.exe', 'MBAM: Trojan.Agent.CK');
    QuarantineFile('C:\Windows\syskey2i.drv', 'MBAM: Trojan.Spybot');
    DeleteFile('C:\Windows\syskey2i.drv');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи MBAM

    C:\Program Files (x86)\VSHARE.TV PLUGIN\ - сами устанавливали ? если не нужна советую удалить

  20. Это понравилось:


  21. #14
    Junior Member (OID) Репутация
    Регистрация
    23.10.2012
    Сообщений
    15
    Вес репутации
    42
    Выслал запрошенный карантин.

    Файл сохранён как 121027_061444_quarantine_508b7bd41ca54.zip
    Размер файла 224413
    MD5 0443676ec0914fc895317f42b4a72de6

    Сделал лог полного сканирования МВАМ.

    C:\Program Files (x86)\VSHARE.TV PLUGIN\ - удалил.
    Вложения Вложения

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Удалите в MBAM всё кроме

    Код:
    C:\My programs\Kompas 3D V 13\KOMPAS-3D_V13_antiHASP_v1.0.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
    C:\Users\Ааз\Desktop\avz4\Quarantine\2012-10-27\avz00001.dta (PUP.Hacktool.Patcher) -> Действие не было предпринято.
    C:\Users\Ааз\Desktop\avz4\Quarantine\2012-10-27\avz00002.dta (Trojan.Agent.CK) -> Действие не было предпринято.
    I:\Із старої вінди\Інсталяхи\Програми\Proxifier\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
    что с проблемой ?

  23. Это понравилось:


  24. #16
    Junior Member (OID) Репутация
    Регистрация
    23.10.2012
    Сообщений
    15
    Вес репутации
    42
    Удалил файлы в MBAM кроме тех что вы указали.

    Проблема решена, интернет работает как всегда.

    Огромное вам спасибо за помощь.

  25. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\ааз\\appdata\\roaming\\cipher prime studios, inc.\\cipher prime studios, inc..exe - Trojan-Dropper.Win32.Dorifel.krc ( DrWEB: BackDoor.Armagedon.23, BitDefender: Trojan.Generic.7985002 )
      2. c:\\users\\ааз\\appdata\\roaming\\clients\\clients .exe - Trojan-Dropper.Win32.Dorifel.krc ( DrWEB: BackDoor.Armagedon.23, BitDefender: Trojan.Generic.7985002 )
      3. c:\\users\\ааз\\appdata\\roaming\\gsc game world\\gsc game world.exe - Trojan-Dropper.Win32.Dorifel.krc ( DrWEB: BackDoor.Armagedon.23, BitDefender: Trojan.Generic.7985002 )
      4. c:\\users\\ааз\\appdata\\roaming\\skypeapps\\skype apps.exe - Trojan-Dropper.Win32.Dorifel.krc ( DrWEB: BackDoor.Armagedon.23, BitDefender: Trojan.Generic.7985002 )
      5. c:\\users\\ааз\\appdata\\roaming\\software fx, inc\\software fx, inc.exe - Trojan-Dropper.Win32.Dorifel.krc ( DrWEB: BackDoor.Armagedon.23, BitDefender: Trojan.Generic.7985002 )
      6. c:\\users\\ааз\\appdata\\roaming\\won\\won.exe - Trojan-Dropper.Win32.Dorifel.krc ( DrWEB: BackDoor.Armagedon.23, BitDefender: Trojan.Generic.7985002 )
      7. c:\\windows\\system32\\drivers\\svchost.exe - Trojan.Win32.Menti.otra ( DrWEB: BackDoor.DirtJump.218, BitDefender: Trojan.Generic.KDV.769741 )
      8. c:\\windows\\syswow64\\drivers\\svchost.exe - Trojan.Win32.Menti.otra ( DrWEB: BackDoor.DirtJump.218, BitDefender: Trojan.Generic.KDV.769741 )


  • Уважаемый(ая) Олександр Пулава, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус speed 2 на нетбуке
      От semsung в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.10.2012, 21:59
    2. Вирус Speed 2
      От semsung в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.10.2012, 18:26
    3. Вирус taskhost (speed 2.ru)
      От olgakisl в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.09.2012, 17:35
    4. Вирус speed 2 ru [Trojan.Win32.Cidox.lfd, ]
      От AgentCrimea в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.08.2012, 00:45
    5. Помогите! Вирус speed 2!!! [Trojan.Win32.Cidox.leq ]
      От Elevated в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 18.08.2012, 20:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00283 seconds with 18 queries