При проверке CureIT пишет, что обезвреживает этот вирус, но при следующих проверках CureIT снова находит Trojan.MayachokMEM.7
При проверке CureIT пишет, что обезвреживает этот вирус, но при следующих проверках CureIT снова находит Trojan.MayachokMEM.7
Уважаемый(ая) Роман Богач, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O4 - HKCU\..\Run: [~backup~] C:\Users\Администратор\Documents\Application Data\explorer.exe
После перезагрузки выполните скрипт:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\Администратор\documents\application data\explorer.exe'); QuarantineFile('c:\users\Администратор\documents\application data\explorer.exe',''); DeleteFile('c:\users\Администратор\documents\application data\explorer.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(4); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Прикрепил указанные файлы после проведения предложенных процедур, кроме того прикрепил файл карантина т.к. по ссылке вверху темы его прикрепить не удалось выходит сообщение "Ошибка загрузки.Данный файл уже был загружен"
- - - Добавлено - - -
Вероятнее всего в файле карантина, созданном скриптом, не будет проблемных файлов т.к., я заархивировал их копии, а вредоносные файлы удалил при помощи антивирусной программы. Поэтому предполагаю что скрипт в архив ничего не добавил. Архив с "вредителями" могу заслать дополнительно если это необходимо.
Последний раз редактировалось mrak74; 10.05.2013 в 19:59.
пришлите по ссылке наверху. Из своего сообщения карантин уберите - это запрещено.
- - - Добавлено - - -
- Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.
что с проблемой ?
Большое спасибо за помощь!
Вчера когда я обратился к вам за помощью, но сам продолжил попытки устранить проблему.
В результате: определил файл который оказался заражённым, это был файл explorer.exe в папке C:\Users\Администратор\Documents\Application Data, кроме того в этой папке находился файл explorer.dat, копии обоих файлов я поместил в архив, а два файла в папке я удалил при помощи функции "Уничтожить" антивируса McAfee Total Protection.
После этого комп перезагрузился и CureIt больше не находил угрозу.
Сегодня я проделал рекомендованные выше процедуры, после этого сформировал и прикрепил файлы логов и др. к своему сообщению.
Инфицированные файлы попытаюсь отправить через ссылку вверху, но как я уже писал у меня это не получилось сделать по неустановленной причине.
P.S. Закинул:
Файл сохранён как 130510_193757_quarantine_518d4c9585b4c.zip
Размер файла 34557
MD5 60efc334683009faa3f280234bb70a4a
Сейчас всё нормально никаких следов трояна не осталось.
Процедуру провёл архив отправил MD5 карантина: 90FF79F87756BC36B9C4B3FB49616E0A
Последний раз редактировалось Роман Богач; 11.05.2013 в 00:01.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\syswow64\mtconf.exe'); QuarantineFile('c:\windows\syswow64\mtconf.exe',''); DeleteFile('c:\windows\syswow64\mtconf.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте лог полного сканирования МВАМ.
Всё сделал как Вы указали. Лог прикрепил.
P.S. MBAM предлагает удалить объекты, стоит ли это делать?
Удалите в MBAM всё кроме
просканиройте заново и приложите новый лог MBAMКод:Обнаруженные процессы в памяти: 1 C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1512 -> Действие не было предпринято. Обнаруженные файлы: 8 C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
Всё сделал по Вашим указаниям, направляю результат.
MBAM деинсталировать?
Всё хорошо, проблема видимо решена, большое Вам спасибо за вашу работу!
Остался только вопрос: Тот ли я антивирус выбрал для защиты компьютера, если он проверяя всё не находил эти проблемы?
по антивирусу советовать не могу. Это личное дело каждого.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Вот ещё ошибки реестра нашёл CCleaner, в них на первой строчке снова Webalta abuehbhetn или это ничего страшного?
Роман Богач, к сожалению на скрине очень мелко, так что не могу разглядеть, но верю вам на слово. От вебальты наверняка остались ещё записи в реестре (очень уж во многих местах эта запись себя прописывает), но в большинстве случаев это не мешает нормальной работе системы, так что нет смысла их вручную выискивать. А так Ccleaner-у думаю можно довериться и удалить.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- \\quarantine\\explorer.exe - Trojan.Win32.Cidox.afer ( BitDefender: Gen:Variant.Zusy.46433, AVAST4: Win32:Rootkit-gen [Rtk] )
- \\quarantine.rar - Trojan.Win32.Cidox.afer ( BitDefender: Gen:Variant.Zusy.46433 )
Уважаемый(ая) Роман Богач, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.