Запрашивает номер телефона в браузере и не даёт устанавливать антивирусы [Trojan.Win32.Cidox.ajkz
]
Вот такая проблема у знакомой. Пожалуйста, помогите.
Антивирусы (Касперский, ESET, DrWeb) проблему видят, находят заражённые файлы, удаляют, но они возвращаются вновь.
Перманентно появляются запреты на скачивание файлов из интернета и установку антивирусов.
Логи прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Konstantin Kovalenko, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\Мамочка\Мои документы\AppData\exp.exe','');
QuarantineFile('C:\WINDOWS\system32\exp.dll','');
DeleteFile('C:\WINDOWS\system32\exp.dll','32');
DeleteFile('C:\Documents and Settings\Мамочка\Мои документы\AppData\exp.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis если они у вас есть.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
1. Отключите восстановление системы. для этого нажмите Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. Кликнуть пpавой кнопкой мыши на "Мой компьютеp". Выбpать "Свойства".
Вкладка "Восстановление системы". Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" Hажать "Пpименить". Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".
2. Создайте точку восстановления системы для этого нажмите Пуск=>Все программы=>Стандартные=>Служебные=>Восстановление системы. В окне Восстановление системы выберете "Создать точку восстановления" задайте ей имя и нажмите "Создать".
3. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 7
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\PerformerSoft\PC Performer (PUP.Optional.PCPerformer.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\PerformerSoft\PC Performer (PUP.Optional.PCPerformer.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0M1S1H1K2U -> Действие не было предпринято.
Обнаруженные папки: 4
C:\Documents and Settings\All Users\Application Data\IBUpdaterService (PUP.InstallBrain) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\File Scout (PUP.Optional.FileScout.A) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc\UpdateTask.exe (PUP.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\File Scout\filescout.exe (Trojan.PUP.Optional.FileScout.A) -> Действие не было предпринято.
C:\Program Files\File Scout\filescout.exe (Trojan.PUP.Optional.FileScout.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc\src.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc\STTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc\TTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\File Scout\filescout.exe (PUP.Optional.FileScout.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\File Scout\uninst.exe (PUP.Optional.FileScout.A) -> Действие не было предпринято.
4. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Проверьте эти файлы на virustotal
кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
Код:
C:\Documents and Settings\Мамочка\Application Data\Real\Update\UpgradeHelper\RealPlayer\10.40\agent\stub_data\stubinst_pkg_en-eu.cab
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFileF('C:\AppData', '*', true, ' ', 0, 0);
DeleteFile('C:\Documents and Settings\Мамочка\Application Data\Mozilla\Firefox\Profiles\lr6sympd.default\searchplugins\ticno.xml','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
2. Запакуйте папку C:\AppData в zip архив с паролем virus и отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.
C:\AdwCleaner[S1].txt
…
Запакуйте папку C:\AppData в zip архив с паролем virus и отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.
Такого файла нет, есть R1 и S0, оба прилагаю.
Папка C:\AppData — совершенно пуста, там ничего нет.
Спасибо Вам, Михаил, за Вашу помощь и терпение. Помоги Бог в Ваших делах.
Честно признаться — знай я, какой зоопарк на компьютере моей знакомой и что стоит его зачистить, просто переустановил бы Windows. Но теперь всё вычищено, благодаря Вам и никаких гадостей не осталось.
Ещё раз огромная благодарность.
Уважаемый(ая) Konstantin Kovalenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: