-
Junior Member
- Вес репутации
- 40
фирус с папкой .trash [Backdoor.Win32.Androm.rhn, Backdoor.Win32.Azbreg.usf
]
Здравствуйте уважаемые програмисты, помогите мне справиться с несколькими вирусами которые я не смог выличить самостоятельно.
Подхватил вирус с флешки. Он делал ярлыки на флешке. Потом вирус стал стирать Оперу, и блокировать сайты такие как z-oleg.com, kaspersky.ru и видимо ещё какие то..Начал бороться, скачал Dr.Web CureIt запустил проверку всего чегог можно в безопасном режиме. было обнаруженно и удалены следующие вирусы trojan.siggen3.18426
trojan.smssend.1392
BackDoor.IRC.NgrBot.42
После чего доктор вэб снёс их. Я перезагрузил систему и ещё раз проверил, не чего не найденно...однако сайты блокированны и опера опять сама сносится...далее сам обновился видовский антивирус и он начал замечать некий win32/Dorkbot.I удаляет его, и он опять через некоторое время появляется вновь.
Файл host тоже чист я его проверял.
Также был заражён и ноут. Его логи я пришлю чуть позже...Вот ещё вопрос, как бороться с этим вирусом если я точно знаю что он будет у меня снова. т.к вирус я подцепил в институте на флешке когда показывали презентацию, её будут показывать заново. и что получается всё это опять повториться?
Заранее благодарен за любую помощь с этими гадскими вирусами.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Schneiden, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Schneiden\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe','');
TerminateProcessByName('c:\users\schneiden\appdata\roaming\8d03.exe');
QuarantineFile('c:\users\schneiden\appdata\roaming\8d03.exe','');
DeleteFile('c:\users\schneiden\appdata\roaming\8d03.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ca40229dd');
DeleteFile('C:\Users\Schneiden\AppData\Roaming\ScreenSaverPro.scr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
-
Удалите в МВАМ только указанные ниже записи
Код:
Обнаруженные процессы в памяти: 1
C:\Users\Schneiden\AppData\Roaming\CD0E.exe.gonewiththewings (Backdoor.Azbreg) -> 3180 -> Действие не было предпринято.
Обнаруженные параметры в реестре: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Screen Saver Pro 3.1 (Backdoor.Bot) -> Параметры: C:\Users\Schneiden\AppData\Roaming\ScreenSaverPro.scr -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe,Explorer.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ca40229dd (Trojan.SpyEyes) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe -> Действие не было предпринято.
Объекты реестра обнаружены: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.SpyEyes) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe) Хорошо: () -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe,Explorer.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято.
Обнаруженные файлы: 10
C:\Users\Schneiden\AppData\Roaming\CD0E.exe.gonewiththewings (Backdoor.Azbreg) -> Действие не было предпринято.
C:\Users\Schneiden\AppData\Roaming\ScreenSaverPro.scr (Backdoor.Bot) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe (Trojan.SpyEyes) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Да нет всё так же...вирус по прежнему удаляет оперу после перезагрузки, так же блокирует саты malwarebytes, kaspersky, z-oleg.com
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Вирус кажется блокирует загрузку и этого файла...попросил друга он скачал и передеал мне этот ComboFix
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::
File::
c:\users\Schneiden\AppData\Roaming\CAED.exe
c:\users\Schneiden\AppData\Roaming\C293.exe
c:\users\Schneiden\AppData\Roaming\Microsoft\Frqoqt.exe
Driver::
Folder::
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Screen Saver Pro 3.1"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Ураа!! ...всё сработало..спасибо вам!
Скажите что теперь делать мне с ноутом где такой же вирус, и что делать с тем ноутом в котором находиля изначаьно вирус. Мне нужно будет же опять показывать презинтацию, и я опять подхвачу получается этот же вирус.
-
Удалите ComboFix
По каждому компьютеру - отдельная тема
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Хорошо. А что будет с тем вирусом который у меня был. Он пополнит базы антивирусника какого-нибуть, если да, то скажите какого, чтобы я был защищён от этого же вируса.
Или мне придётся делать те же самые скрипты?
-
Вирус уже известен Лаборатории Касперского
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-15555590\\cafef9.exe - Backdoor.Win32.Azbreg.usf ( BitDefender: Trojan.Generic.9157617, AVAST4: Win32:Malware-gen )
- c:\\users\\schneiden\\appdata\\roaming\\screensave rpro.scr - Backdoor.Win32.Androm.rhn
-