Показано с 1 по 17 из 17.

CureIT обнаружил у себя Trojan.MayachokMEM.7 [Trojan.Win32.Cidox.afer ] (заявка № 138517)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    10.05.2013
    Сообщений
    76
    Вес репутации
    14

    CureIT обнаружил у себя Trojan.MayachokMEM.7 [Trojan.Win32.Cidox.afer ]

    При проверке CureIT пишет, что обезвреживает этот вирус, но при следующих проверках CureIT снова находит Trojan.MayachokMEM.7
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Роман Богач, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Здравствуйте !!!

    Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    O4 - HKCU\..\Run: [~backup~] C:\Users\Администратор\Documents\Application Data\explorer.exe
    Выполните скрипт в AVZ:
    Код:
    begin
      ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      TerminateProcessByName('c:\users\Администратор\documents\application data\explorer.exe');
      QuarantineFile('c:\users\Администратор\documents\application data\explorer.exe','');
      DeleteFile('c:\users\Администратор\documents\application data\explorer.exe');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(4);
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  5. mrak74 получил(а) благодарность за это сообщение от


  6. #4
    Junior Member (OID) Репутация
    Регистрация
    10.05.2013
    Сообщений
    76
    Вес репутации
    14

    Re:

    Прикрепил указанные файлы после проведения предложенных процедур, кроме того прикрепил файл карантина т.к. по ссылке вверху темы его прикрепить не удалось выходит сообщение "Ошибка загрузки.Данный файл уже был загружен"

    - - - Добавлено - - -

    Вероятнее всего в файле карантина, созданном скриптом, не будет проблемных файлов т.к., я заархивировал их копии, а вредоносные файлы удалил при помощи антивирусной программы. Поэтому предполагаю что скрипт в архив ничего не добавил. Архив с "вредителями" могу заслать дополнительно если это необходимо.
    Вложения Вложения
    Последний раз редактировалось mrak74; 10.05.2013 в 19:59.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Цитата Сообщение от Роман Богач Посмотреть сообщение
    Архив с "вредителями" могу заслать дополнительно если это необходимо.
    пришлите по ссылке наверху. Из своего сообщения карантин уберите - это запрещено.

    - - - Добавлено - - -

    - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

    что с проблемой ?

  8. regist получил(а) благодарность за это сообщение от


  9. #6
    Junior Member (OID) Репутация
    Регистрация
    10.05.2013
    Сообщений
    76
    Вес репутации
    14
    Большое спасибо за помощь!

    Вчера когда я обратился к вам за помощью, но сам продолжил попытки устранить проблему.

    В результате: определил файл который оказался заражённым, это был файл explorer.exe в папке C:\Users\Администратор\Documents\Application Data, кроме того в этой папке находился файл explorer.dat, копии обоих файлов я поместил в архив, а два файла в папке я удалил при помощи функции "Уничтожить" антивируса McAfee Total Protection.
    После этого комп перезагрузился и CureIt больше не находил угрозу.

    Сегодня я проделал рекомендованные выше процедуры, после этого сформировал и прикрепил файлы логов и др. к своему сообщению.

    Инфицированные файлы попытаюсь отправить через ссылку вверху, но как я уже писал у меня это не получилось сделать по неустановленной причине.
    P.S. Закинул:
    Файл сохранён как 130510_193757_quarantine_518d4c9585b4c.zip
    Размер файла 34557
    MD5 60efc334683009faa3f280234bb70a4a


    Сейчас всё нормально никаких следов трояна не осталось.

    Процедуру провёл архив отправил MD5 карантина: 90FF79F87756BC36B9C4B3FB49616E0A
    Последний раз редактировалось Роман Богач; 11.05.2013 в 00:01.

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     TerminateProcessByName('c:\windows\syswow64\mtconf.exe');
     QuarantineFile('c:\windows\syswow64\mtconf.exe','');
     DeleteFile('c:\windows\syswow64\mtconf.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Сделайте лог полного сканирования МВАМ.

  11. regist получил(а) благодарность за это сообщение от


  12. #8
    Junior Member (OID) Репутация
    Регистрация
    10.05.2013
    Сообщений
    76
    Вес репутации
    14
    Всё сделал как Вы указали. Лог прикрепил.

    P.S. MBAM предлагает удалить объекты, стоит ли это делать?
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Удалите в MBAM всё кроме

    Код:
    Обнаруженные процессы в памяти:  1
    C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1512 -> Действие не было предпринято.
    Обнаруженные файлы:  8
    C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
    просканиройте заново и приложите новый лог MBAM

  14. regist получил(а) благодарность за это сообщение от


  15. #10
    Junior Member (OID) Репутация
    Регистрация
    10.05.2013
    Сообщений
    76
    Вес репутации
    14
    Всё сделал по Вашим указаниям, направляю результат.

    MBAM деинсталировать?
    Вложения Вложения

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Цитата Сообщение от Роман Богач Посмотреть сообщение
    MBAM деинсталировать?
    да. что с проблемой ?

  17. regist получил(а) благодарность за это сообщение от


  18. #12
    Junior Member (OID) Репутация
    Регистрация
    10.05.2013
    Сообщений
    76
    Вес репутации
    14
    Всё хорошо, проблема видимо решена, большое Вам спасибо за вашу работу!

    Остался только вопрос: Тот ли я антивирус выбрал для защиты компьютера, если он проверяя всё не находил эти проблемы?

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    по антивирусу советовать не могу. Это личное дело каждого.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  20. regist получил(а) благодарность за это сообщение от


  21. #14
    Junior Member (OID) Репутация
    Регистрация
    10.05.2013
    Сообщений
    76
    Вес репутации
    14
    Вот ещё ошибки реестра нашёл CCleaner, в них на первой строчке снова Webalta abuehbhetn или это ничего страшного?
    Изображения Изображения

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Роман Богач, к сожалению на скрине очень мелко, так что не могу разглядеть, но верю вам на слово. От вебальты наверняка остались ещё записи в реестре (очень уж во многих местах эта запись себя прописывает), но в большинстве случаев это не мешает нормальной работе системы, так что нет смысла их вручную выискивать. А так Ccleaner-у думаю можно довериться и удалить.

  23. regist получил(а) благодарность за это сообщение от


  24. #16
    Junior Member (OID) Репутация
    Регистрация
    10.05.2013
    Сообщений
    76
    Вес репутации
    14
    Цитата Сообщение от regist Посмотреть сообщение
    Выполните скрипт в AVZ при наличии доступа в интернет:

    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, [/url]
    Вот прикладываю текстовый файл.

    - - - Добавлено - - -

    Обновил. Запустил скрипт снова, ответ: Уязвимости не обнаружены.

    Ещё раз огромное Вам спасибо за вашу работу!
    Вложения Вложения
    Последний раз редактировалось Роман Богач; 11.05.2013 в 20:47.

  25. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,528
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. \\quarantine\\explorer.exe - Trojan.Win32.Cidox.afer ( BitDefender: Gen:Variant.Zusy.46433, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. \\quarantine.rar - Trojan.Win32.Cidox.afer ( BitDefender: Gen:Variant.Zusy.46433 )


  • Уважаемый(ая) Роман Богач, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 14.12.2012, 23:32
    2. Ответов: 8
      Последнее сообщение: 06.12.2012, 03:27
    3. Ответов: 37
      Последнее сообщение: 11.06.2010, 18:23
    4. обнаружил у себя Email-Worm.Win32. Brontok.q
      От Axel в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.08.2006, 23:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00422 seconds with 23 queries