Показано с 1 по 17 из 17.

Вирус Trojan Muldrop1.48542 в общих документах. (заявка № 136716)

  1. #1
    Junior Member Репутация
    Регистрация
    06.04.2013
    Сообщений
    9
    Вес репутации
    14

    Вирус Trojan Muldrop1.48542 в общих документах.

    Всем привет! Уже давно пытаюсь удалить его, но как - то пока безуспешно.
    Суть такова: изредка, примерно раз в неделю, он начинает себя клонировать в папки общих документов с названиями этих же папок только на англ языке. Например: В папке "Музыка" находится архив "Music.rar" и.д.
    После, следует какая - то атака, появляются различные .exe и .bat файлы, но др веб стремительно их бракует в карантин, вылазиют сообщения за сообщениями что вирус удален. Потом все утихает, и через какое - то время все по новой. Есть подозрения, что вирус управляется из вне, потому что состав архива поменялся.

    https://www.virustotal.com/ru/file/5...is/1365251830/

    Старый состав архива я не помню, он был что - то типо картинка, докс файл, и exe файл, теперь только картинка и exe файл и имена файлов совсем другие.

    Состав архива:

    1. Green Bubbles.exe
    2. thumbnail.jpg
    Вложения Вложения
    Последний раз редактировалось ALeKsaNdRoy; 06.04.2013 в 22:38.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) ALeKsaNdRoy, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    06.04.2013
    Сообщений
    9
    Вес репутации
    14
    MBAM-log-2013-04-07 (17-16-56).txt

    c:\windows\system32\drivers\etc\hоsts
    здесь находится 2 файла с таким именем, один нормальный файл хост и второй пустой

    а те что ноходятся по пути D:\System Volume Information\
    очень интересно, неужели это они?)
    не ожидал что вирус сидит не на системном диске

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Удалите в МВАМ только указанные ниже записи
    Код:
    c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    06.04.2013
    Сообщений
    9
    Вес репутации
    14
    Удалил, и теперь там остался только один пустой файл хост, а тот что был, я его сам создавал после старой атаки, и там не было ни каких лишних строк, возможно просто он отличался по составу с оригинальным, и из за этого его воспринимало как вирус. Теперь как я понимаю мне нужно создать новый файл хост или отредактировать этот, чтобы не было неполадок с инетом, но врятли это было причиной всех этих атак. Есть теория что заражение идет с компьютера который находится в локальной сети, и поэтому дальше общих документов клонироваться не может, я проверял и тот компьютер, но ничего серьезного не нашел, запретил доступ с него в мой компьютер, посмотрим вернется ли вирус.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Цитата Сообщение от ALeKsaNdRoy Посмотреть сообщение
    c:\windows\system32\drivers\etc\hоsts
    - это не файл хост, в этом названии вторая буква русская.

    Проблемы какие остались?


  9. #8
    Junior Member Репутация
    Регистрация
    06.04.2013
    Сообщений
    9
    Вес репутации
    14
    Цитата Сообщение от Techno Посмотреть сообщение
    - это не файл хост, в этом названии вторая буква русская.

    Проблемы какие остались?
    Ясно, пока ничего нет, если так то скорее всего это был он, спасибо за помощь!

  10. #9
    Junior Member Репутация
    Регистрация
    06.04.2013
    Сообщений
    9
    Вес репутации
    14
    Вирус вернулся, только что была атака, проблема не решена.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    Сделайте лог TDSSKiller


  12. #11
    Junior Member Репутация
    Регистрация
    06.04.2013
    Сообщений
    9
    Вес репутации
    14
    Все сделал, просканировал первый раз и выдало:

    Скрытый текст

    Код:
    23:55:08.0918 2296  ============================================================
    23:55:08.0918 2296  Scan finished
    23:55:08.0918 2296  ============================================================
    23:55:08.0945 3920  Detected object count: 3
    23:55:08.0945 3920  Actual detected object count: 3
    23:56:14.0544 3920  DrWebEngine ( ForgedFile.Multi.Generic ) - skipped by user
    23:56:14.0545 3920  DrWebEngine ( ForgedFile.Multi.Generic ) - User select action: Skip 
    23:56:14.0547 3920  Tcpip ( ForgedFile.Multi.Generic ) - skipped by user
    23:56:14.0547 3920  Tcpip ( ForgedFile.Multi.Generic ) - User select action: Skip 
    23:56:14.0549 3920  TCPIP6 ( ForgedFile.Multi.Generic ) - skipped by user
    23:56:14.0549 3920  TCPIP6 ( ForgedFile.Multi.Generic ) - User select action: Skip
    Скрыть


    После несколько раз сканировал и ничего.
    Сканировал по стандартным параметрам.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379


  14. #13
    Junior Member Репутация
    Регистрация
    06.04.2013
    Сообщений
    9
    Вес репутации
    14
    ComboFix.txt

    - - - Добавлено - - -

    В ProgramData есть еще несколько файлов с именами "0".
    То что эта программа удалила, возможно что это и есть этот самый вирус?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Цитата Сообщение от ALeKsaNdRoy Посмотреть сообщение
    В ProgramData есть еще несколько файлов с именами "0".
    Удалите их.

    Что с проблемами?


  16. #15
    Junior Member Репутация
    Регистрация
    06.04.2013
    Сообщений
    9
    Вес репутации
    14
    Все лучезарно. Думаю тему можно закрывать.
    Спасибо вам огромное за помощь!

    - - - Добавлено - - -

    Правда, теперь ComboFix не удаляется, вернее файлы от него, написал команду в выполнить, показало что файл не найден, удалил сам этот файл, выполнил удаление через OTCleanIt, но в итоге после перезагрузки ничего не изменилось, и теперь вообще в папку Qoobox зайти не могу, не том что ее удалить. Есть ли еще какой нибудь способ удалить эти файлы? Мучаюсь с правами доступа, но ничего не помогает, хоть и там показывает что у меня полный доступ.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Скачайте снова comboFix и
    Код:
    Combofix /Uninstall
    Вместо Combofix напишите полный путь к файлу Combofix.exe в кавычках, например:
    Код:
    "C:\рабочий стол\Combofix" /Uninstall


  18. #17
    Junior Member Репутация
    Регистрация
    06.04.2013
    Сообщений
    9
    Вес репутации
    14
    Спасибо!

  • Уважаемый(ая) ALeKsaNdRoy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. подхватил заразу rojan.mulDrop1.48542
      От advansed в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 15.01.2011, 18:21
    2. Ответов: 14
      Последнее сообщение: 22.10.2010, 21:47
    3. Троянская программа и Trojan.MulDrop1.3316.
      От Rcuif в разделе Помогите!
      Ответов: 54
      Последнее сообщение: 22.04.2010, 20:26
    4. trojan.muldrop1.3316
      От tekhnlog в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 04.03.2010, 12:16
    5. ctfmon.exe начала определятся как trojan.muldrop1.3316
      От slayer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.02.2010, 13:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00039 seconds with 22 queries