-
Junior Member
- Вес репутации
- 64
Рассадник вирусов [Trojan.Win32.Jorik.Buterat.aaub
]
Здравствуйте.
знакомая принесла ноутбук.
прошлись антивирусами стандартными, много что удалилось в т.ч. некие кейлоггеры.
но до конца не вылечилось.
пока из симптомов.. рекламный баннер на любой странице.
наверняка, что-нибудь еще есть.
логи прилагаю.
спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Beirut, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пофиксите в HIJack
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3a539854-6a70-11db-887c-806e6f6e6963}: NameServer = 193.111.137.199
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D579822-8993-4656-B53F-6DA316B0C9A8}: NameServer = 193.111.137.199
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DD06644-4B87-43C1-BE32-4C161C62BA7E}: NameServer = 193.111.137.199
O17 - HKLM\System\CS3\Services\Tcpip\..\{3a539854-6a70-11db-887c-806e6f6e6963}: NameServer = 193.111.137.199
O17 - HKLM\System\CS4\Services\Tcpip\..\{3a539854-6a70-11db-887c-806e6f6e6963}: NameServer = 193.111.137.199
Очистите куки и кэш браузеров
Сделайте новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 64
Здравстуйте.
в результате данных манипуляций есть положительное изменение.
вирусинфо.инфо стал открываться наконец-то. видимо, блокировался вирусом.
но рекламный баннер по-прежнему висит на страницах.
логи прилагаю
это зловред, видимо
C:\Windows\TEMP\zo44ep8w.exe
эта штука странная
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://yar1.akson.ru/activex/AMC.cab
знакомая говорит на сайте этого интернет-магазина http://yar1.akson.ru/ недавно побывала.. и всё.
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\System32\Drivers\BeTwinSystemVS.sys','');
QuarantineFile('C:\Windows\System32\Slsxxx.dll','');
TerminateProcessByName('c:\windows\temp\zo44ep8w.exe');
QuarantineFile('c:\windows\temp\zo44ep8w.exe','');
TerminateProcessByName('c:\windows\system32\betwinservicevs.exe');
QuarantineFile('c:\windows\system32\betwinservicevs.exe','');
DeleteFile('c:\windows\system32\betwinservicevs.exe');
DeleteFile('c:\windows\temp\zo44ep8w.exe');
DeleteFile('C:\Windows\Tasks\mm51.job');
DeleteFile('C:\Windows\Temp\~DF20B.tmp');
DeleteFile('C:\Windows\Temp\~DF9C4D.tmp');
DeleteFile('C:\Windows\Temp\~DFEBA.tmp');
DeleteFile('C:\Windows\System32\Drivers\BeTwinSystemVS.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 64
Здравствуйте.
карантин залит.
новые логи прилагаю.
-
Junior Member
- Вес репутации
- 64
баннер исчез.
всё ли чисто? )
-
Программу для удаленного доступа сами устанавливали?
-
-
Junior Member
- Вес репутации
- 64
Вы про это?
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Service.exe
или что-то другое?
уточню.
- - - Добавлено - - -
уточнил.
знакомая поставила сама, да.
thyrex
на данный момент мы ждем результата карантина?
-
Сообщение от
Beirut
Вы про это?
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Service.exe
Нет, я про это O20 - AppInit_DLLs: C:\Windows\system32\rserver30\newtstop.dll
- - - Добавлено - - -
Сообщение от
Beirut
на данный момент мы ждем результата карантина?
Нет, там все ясно... В логах порядок.
- Установите SP2 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows
-
-
Junior Member
- Вес репутации
- 64
Techno
был радмин вьювер.
это ведь от него?
деинсталлировали.
знакомая, говорит давно он с 2008 года. и ни разу не пользовалась ей.
вот такие дела.
пока ставим заплатки виндоус.
-
C:\Windows\system32\rserver30 - удалите тогда.
И пофиксите:
Код:
O20 - AppInit_DLLs: C:\Windows\system32\rserver30\newtstop.dll
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\temp\\zo44ep8w.exe - Trojan.Win32.Jorik.Buterat.aaub ( BitDefender: Gen:Variant.Kazy.152455, AVAST4: Win32:Malware-gen )
-