Показано с 1 по 10 из 10.

Периодически запускается файл 3fd9b.exe с java.exe. CureIt не видит. Родной Comodo блокирует, но не лечит. [Trojan.Win32.Badur.ork ] (заявка № 144383)

  1. #1
    Junior Member Репутация
    Регистрация
    24.08.2013
    Сообщений
    4
    Вес репутации
    13

    Thumbs up Периодически запускается файл 3fd9b.exe с java.exe. CureIt не видит. Родной Comodo блокирует, но не лечит. [Trojan.Win32.Badur.ork ]

    Здравствуйте!

    Где-то с месяц периодически запускается файл 3fd9b.exe (цифры в названии файла несколько раз менялись, 3fd9b.exe - название за последнюю неделю. Раньше было 3fec1.exe). Вместе с ним запускается java.exe. Файл 3fd9b.exe появляется в папке windows/Temp. В предпоследний раз он появился 3 дня назад и удалить его не смог даже Unlocker с перезагрузкой. Штатный Comodo Antivirus блокирует файл и помещает в карантин без переноса из папки Temp. Проверка системы CureIt ничего не дает, даже если указываешь ей этот файл.
    Comodo перед блокировкой рапортует о том, что файл рвется на какой-то IP и является malvare. Еще заметил, что при запуске 3fd9b.exe появляется папка c:\VirtualRoot, пустая.
    Буду благодарен, если поможете избавиться от этой заразы. Есть подозрение, что файл запускается при загрузке одной из страниц в Opera, их открыто несколько десятков. Проверка кэша оперы ничего не дала, как и CureIt.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) Permitto, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\temp\3fd9b.exe','');
     TerminateProcessByName('c:\windows\temp\3fd9b.exe');
     DeleteFile('c:\windows\temp\3fd9b.exe','32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=144383

    4. Сделайте повторные логи.
    Наша служба, будто сердце, отдыха не знает никогда.

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    24.08.2013
    Сообщений
    4
    Вес репутации
    13
    Вот результаты сканирования утилитой MBAM.

    - - - Добавлено - - -

    Выполнил повторную проверку AVZ после выполнения скриптов. Результат прислать не могу, система говорит, что этот файл я уже посылал. Он кстати пустой, 22 байта. Файл из папки temp скрипт удалил, тольк вот из самого скрипта непонятно, как он удалил причину появления этого файла и его запуска.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,567
    Вес репутации
    709
    Удалите в MBAM только

    Код:
    Обнаруженные ключи в реестре:  9
    HKCR\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439} (PUP.Funmoods) -> Действие не было предпринято.
    HKCR\escort.escortIEPane.1 (PUP.Funmoods) -> Действие не было предпринято.
    HKCR\escort.escortIEPane (PUP.Funmoods) -> Действие не было предпринято.
    HKCR\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9} (PUP.Funmoods) -> Действие не было предпринято.
    HKCR\f (PUP.Funmoods) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Действие не было предпринято.
    HKCU\Software\MS Sertified app (Malware.Trace) -> Действие не было предпринято.
    HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki (PUP.Funmoods) -> Действие не было предпринято.
    Обнаруженные папки:  1
    C:\Program Files\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.
    C:\Documents and Settings\UH\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Program Files\eRightSoft\SUPER\ - вам эта программа знакома ? если нет, то
    Код:
    C:\Program Files\eRightSoft\SUPER\SUPER.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\Program Files\eRightSoft\SUPER\spk\MKV_ax.spk (Trojan.Downloader) -> Действие не было предпринято.
    тоже удалите.

    - Очистите карантин Комодо.

    - Перезагрузите компьютер и сделайте новый лог сканирования MBAM.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    - Смените пароли, в первую очередь банковские если ими пользуетесь.

  8. #7
    Junior Member Репутация
    Регистрация
    24.08.2013
    Сообщений
    4
    Вес репутации
    13
    Вот повторные логи. Кстати, не посоветуете программу которая бы показывала, какая страница в браузере запускает скрипт или еще какую дрянь?
    Спасибо всем за помощь. Посмотрю, как поведет себя система дальше.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,567
    Вес репутации
    709
    Цитата Сообщение от Permitto Посмотреть сообщение
    Кстати, не посоветуете программу которая бы показывала, какая страница в браузере запускает скрипт или еще какую дрянь?
    веб антивирус называется

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  10. #9
    Junior Member Репутация
    Регистрация
    24.08.2013
    Сообщений
    4
    Вес репутации
    13
    Спасибо! С помощью этого скрипта нашел 17 потенциальных уязвимостей. Буду обновляться.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,541
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\temp\\3fd9b.exe - Trojan.Win32.Badur.ork ( BitDefender: Gen:Variant.Kazy.165667 )
      2. \\3fd9b.exe - Trojan.Win32.Badur.ork ( BitDefender: Gen:Variant.Kazy.165667 )


  • Уважаемый(ая) Permitto, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.07.2013, 14:27
    2. Ответов: 7
      Последнее сообщение: 27.07.2012, 20:09
    3. Ответов: 27
      Последнее сообщение: 19.07.2012, 13:02
    4. Ответов: 2
      Последнее сообщение: 23.03.2012, 13:03
    5. Ответов: 5
      Последнее сообщение: 22.02.2009, 07:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00420 seconds with 23 queries