Периодически запускается файл 3fd9b.exe с java.exe. CureIt не видит. Родной Comodo блокирует, но не лечит. [Trojan.Win32.Badur.ork
]
Здравствуйте!
Где-то с месяц периодически запускается файл 3fd9b.exe (цифры в названии файла несколько раз менялись, 3fd9b.exe - название за последнюю неделю. Раньше было 3fec1.exe). Вместе с ним запускается java.exe. Файл 3fd9b.exe появляется в папке windows/Temp. В предпоследний раз он появился 3 дня назад и удалить его не смог даже Unlocker с перезагрузкой. Штатный Comodo Antivirus блокирует файл и помещает в карантин без переноса из папки Temp. Проверка системы CureIt ничего не дает, даже если указываешь ей этот файл.
Comodo перед блокировкой рапортует о том, что файл рвется на какой-то IP и является malvare. Еще заметил, что при запуске 3fd9b.exe появляется папка c:\VirtualRoot, пустая.
Буду благодарен, если поможете избавиться от этой заразы. Есть подозрение, что файл запускается при загрузке одной из страниц в Opera, их открыто несколько десятков. Проверка кэша оперы ничего не дала, как и CureIt.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Permitto, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполнил повторную проверку AVZ после выполнения скриптов. Результат прислать не могу, система говорит, что этот файл я уже посылал. Он кстати пустой, 22 байта. Файл из папки temp скрипт удалил, тольк вот из самого скрипта непонятно, как он удалил причину появления этого файла и его запуска.
Обнаруженные ключи в реестре: 9
HKCR\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439} (PUP.Funmoods) -> Действие не было предпринято.
HKCR\escort.escortIEPane.1 (PUP.Funmoods) -> Действие не было предпринято.
HKCR\escort.escortIEPane (PUP.Funmoods) -> Действие не было предпринято.
HKCR\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9} (PUP.Funmoods) -> Действие не было предпринято.
HKCR\f (PUP.Funmoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Действие не было предпринято.
HKCU\Software\MS Sertified app (Malware.Trace) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki (PUP.Funmoods) -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Program Files\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\UH\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Program Files\eRightSoft\SUPER\ - вам эта программа знакома ? если нет, то
Код:
C:\Program Files\eRightSoft\SUPER\SUPER.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Program Files\eRightSoft\SUPER\spk\MKV_ax.spk (Trojan.Downloader) -> Действие не было предпринято.
тоже удалите.
- Очистите карантин Комодо.
- Перезагрузите компьютер и сделайте новый лог сканирования MBAM.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Смените пароли, в первую очередь банковские если ими пользуетесь.
Вот повторные логи. Кстати, не посоветуете программу которая бы показывала, какая страница в браузере запускает скрипт или еще какую дрянь?
Спасибо всем за помощь. Посмотрю, как поведет себя система дальше.
Кстати, не посоветуете программу которая бы показывала, какая страница в браузере запускает скрипт или еще какую дрянь?
веб антивирус называется
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: