Показано с 1 по 12 из 12.

Troyan.MayachokMEM.8 [Trojan.Win32.Cidox.ajhi ] (заявка № 144438)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    6
    Вес репутации
    39

    Troyan.MayachokMEM.8 [Trojan.Win32.Cidox.ajhi ]

    День добрый! Помогите пожалуйста. При открытии браузера (любого) требуется ввести номер телефона. Dr.web CureIT находит это trojan.mayachokmem.8 в оперативной памяти и обезвреживает(проблема исчезает). Но после перезагрузки снова такая же беда. После повторной проверки Dr.web CureIT опять ее находит. При всем этом Яндекс. Брауер вообще не открывается, Опера находит ошибку и вылетает.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Dzuzefina, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\Ольга\AppData\Roaming\Microsoft\Windows\Templates\8196-NendangBro.com','');
     QuarantineFile('C:\Users\Ольга\Documents\exp.dll','');
     QuarantineFile('c:\users\Ольга\documents\appdata\exp.exe','');
     DeleteFile('C:\Users\Ольга\Documents\exp.dll','32');
     DeleteFile('C:\Users\Ольга\Documents\AppData\exp.exe','32');
     DeleteFile('\AppData\exp.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
     ExecuteRepair(8);
     ExecuteRepair(17);
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cwer.ws
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.ticno.com?key=94d08c7b-1aac-470a-8f4a-df3e9a7d511e
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O4 - HKCU\..\Run: [~backup~] C:\Users\Ольга\Documents\AppData\exp.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs: C:\Users\Ольга\Documents\exp.dll
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    6
    Вес репутации
    39
    Проделала все операции. И карантин передала.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные параметры в реестре:  1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Tok-Cirrhatus (Worm.Brontok) -> Параметры:  -> Действие не было предпринято.
    
    Обнаруженные папки:  7
    C:\Users\Ольга\Local Settings\Application Data\Bron.tok-16-19 (Worm.Brontok) -> Действие не было предпринято.
    C:\Users\Ольга\Local Settings\Application Data\Bron.tok-16-20 (Worm.Brontok) -> Действие не было предпринято.
    C:\Users\Ольга\Local Settings\Application Data\Bron.tok-16-21 (Worm.Brontok) -> Действие не было предпринято.
    C:\Users\Ольга\Local Settings\Application Data\Bron.tok-16-22 (Worm.Brontok) -> Действие не было предпринято.
    C:\Users\Ольга\Local Settings\Application Data\Bron.tok-16-23 (Worm.Brontok) -> Действие не было предпринято.
    C:\Users\Ольга\Local Settings\Application Data\Bron.tok-16-24 (Worm.Brontok) -> Действие не было предпринято.
    C:\Users\Ольга\Local Settings\Application Data\Bron.tok-16-25 (Worm.Brontok) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Users\Ольга\Downloads\avz4\avz4\Infected\2013-08-25\avz00001.dta (Trojan.Dropper) -> Действие не было предпринято.
    C:\Users\Ольга\Downloads\avz4\avz4\Infected\2013-08-25\avz00002.dta (Trojan.Dropper) -> Действие не было предпринято.
    C:\Users\Ольга\Downloads\avz4\avz4\Infected\2013-08-25\avz00003.dta (Trojan.Dropper) -> Действие не было предпринято.
    C:\Windows\pss\Empty.pif.Startup (Trojan.Dropper) -> Действие не было предпринято.
    c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    2. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O4 - HKUS\S-1-5-18\..\Run: [Tok-Cirrhatus]  (User 'система')
    O4 - HKUS\.DEFAULT\..\Run: [Tok-Cirrhatus]  (User 'Default user')
    Сделайте новый лог HiJackThis.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    6
    Вес репутации
    39
    3 вирусных файла он все равно находит.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Найденные файлы не представляют опасности. Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    6
    Вес репутации
    39
    Проблема решена, спасибо большое!

    Подскажите, мне оставить эти файлы или стоит их тоже удалить?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Оставьте не трогайте их.

    2. Деинсталлируйте MBAM. Пуск--Панель управления--Установка и удаление программ
    Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

    3. Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    4. Смените пароли на веб ресурсы.

    5. Советы и рекомендации после лечения компьютера
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    25.08.2013
    Сообщений
    6
    Вес репутации
    39
    Данные из блокнота avz_log. txt:
    "Поиск критических уязвимостей
    Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...7-a4db76c7f6d3
    Для установки этого обновления требуется установить SP1 для Office 2010
    http://www.microsoft.com/ru-ru/downl....aspx?id=26622

    Обнаружено уязвимостей: 1". А возможно ли,что у меня на 64-рязрадной системе Win7 стоит 32-х рязрядный офис?

    Еще раз спасибо за Вашу работу!!! Это бесценный труд и добро, которые Вы делаете для людей. Каждый отблагодарить вас от всей души как сможет ,а не будет бурчать себе под нос - "что так дорого?", "грабеж", и т.д. и.т.п.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от Dzuzefina Посмотреть сообщение
    А возможно ли,что у меня на 64-рязрадной системе Win7 стоит 32-х рязрядный офис?
    Да, он по умолчанию и устанавливается.
    WBR,
    Vadim

  14. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\ольга\\documents\\appdata\\exp.exe - Trojan.Win32.Cidox.ajhi ( BitDefender: Gen:Variant.Mayachok.8 )


  • Уважаемый(ая) Dzuzefina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. trojan.mayachokmem.7
      От Серега Абашкин в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 10.08.2013, 14:50
    2. Trojan.MayachokMEM.5
      От usachev.da в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.01.2013, 21:56
    3. Поймал troyan.win32.bkiu и troyan.mayachok
      От Arti67 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.11.2011, 17:16
    4. Win32.Alman Troyan.Hosts.4561 Troyan.Carberp.12
      От lavrov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.08.2011, 16:11
    5. Troyan-Gen3, 5, 7 , Troyan Pws Gamania, Autoruner, Troyan Downloader
      От snegir в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.10.2009, 17:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00295 seconds with 20 queries