TR/Agent.182784.39

[Taня]

вирус

[Info_bot]

Уважаемый(ая) Taня, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\2106~1\AppData\Local\Temp\2477280FdOh');
DeleteFile('C:\Users\2106~1\AppData\Local\Temp\2383710FdOh');
 QuarantineFile('C:\Users\Таня\Documents\Iterra\dnytggn.dll','');
 QuarantineFile('C:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe','');
 QuarantineFile('C:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LkXKMhFv0Yk.exe','');
 QuarantineFile('C:\Users\2106~1\AppData\Local\Temp\009882~1.EXE','');
 QuarantineFile('c:\users\Таня\appdata\local\temp\1D1792B1.sys','');
 DeleteService('1D1792B1');
 QuarantineFile('c:\users\таня\appdata\local\temp\5632FA0D.sys','');
 TerminateProcessByName('c:\users\2106~1\appdata\local\temp\wpbt0.dll');
 QuarantineFile('c:\users\2106~1\appdata\local\temp\wpbt0.dll','');
 TerminateProcessByName('c:\users\2106~1\appdata\local\temp\wgsdgsdgdsgsd.exe');
 QuarantineFile('c:\users\2106~1\appdata\local\temp\wgsdgsdgdsgsd.exe','');
 QuarantineFile('c:\windows\adobe_lr.exe','');
 DeleteFile('c:\users\2106~1\appdata\local\temp\wgsdgsdgdsgsd.exe');
 DeleteFile('c:\users\2106~1\appdata\local\temp\wpbt0.dll');
 DeleteFile('c:\users\таня\appdata\local\temp\5632FA0D.sys');
 DeleteFile('c:\users\Таня\appdata\local\temp\1D1792B1.sys');
 DeleteFile('C:\Users\2106~1\AppData\Local\Temp\009882~1.EXE');
 DeleteFile('C:\Program Files (x86)\pchd\PCHDPlayer.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 DeleteFile('C:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe');
 DeleteFile('C:\Users\Таня\Documents\Iterra\dnytggn.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2401292');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2494658');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

[Taня]

вот все логи:

[thyrex]

Карантин почему не загрузили?

Удалите в МВАМ только указанные ниже записи

Код:

Обнаруженные процессы в памяти:  1
C:\Windows\adobe_lr.exe (Trojan.Agent) -> 2824 -> Действие не было предпринято.

Обнаруженные ключи в реестре:  1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ALSrvN (Trojan.Agent) -> Параметры: "C:\Windows\adobe_lr.exe" -> Действие не было предпринято.

Объекты реестра обнаружены:  2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.

Обнаруженные файлы:  7
C:\Windows\adobe_lr.exe (Trojan.Agent) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1283618323-1632584687-3570554282-1000\$R9CZBG2\ParaPa pobot.exe (Backdoor.Agent) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-1283618323-1632584687-3570554282-1000\$RIY8FJP.Vista_7\HideToolz.exe (Trojan.Hideproc) -> Действие не было предпринято.
C:\Users\Таня\AppData\Local\Temp\wpbt0.dll (Exploit.Drop.GS) -> Действие не было предпринято.
C:\Users\Таня\wgsdgsdgdsgsd.exe (Exploit.Drop.GS) -> Действие не было предпринято.

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\windows\adobe_lr.exe');
 QuarantineFile('C:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LkXKMhFv0Yk.exe','');
 DeleteFile('C:\Users\Таня\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LkXKMhFv0Yk.exe');
 DeleteFile('c:\windows\adobe_lr.exe');
DeleteFileMask('C:\Program Files (x86)\pchd', '*', true);
DeleteDirectory('C:\Program Files (x86)\pchd');
DeleteFileMask('C:\pchd', '*', true);
DeleteDirectory('C:\pchd');
DeleteFileMask('C:\Users\Таня\Documents\Iterra', '*', true);
DeleteDirectory('C:\Users\Таня\Documents\Iterra');
DeleteFileMask('C:\ProgramData\tpqaNzG9imw', '*', true);
DeleteDirectory('C:\ProgramData\tpqaNzG9imw');
DeleteFileMask('C:\Users\Таня\AppData\Roaming\9a0cbe32', '*', true);
DeleteDirectory('C:\Users\Таня\AppData\Roaming\9a0cbe32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи МВАМ и RSIT

[Taня]

в карантине ничего не было

[thyrex]

Сделайте новые логи МВАМ и RSIT

Ждем

[Taня]

в карантине опять пусто
логи:

[thyrex]

Что с проблемой?

[Taня]

стало намного лучше, но вы на всякий случай проверьте логи которые я вам прислала

[thyrex]

Проверял. Они в порядке. Потому и был задан вопрос

[Taня]

ок. спасибо)