Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Помогите вылечить! [Trojan.Win32.ShipUp.ejfs, HEUR:Backdoor.Win32.Generic ] (заявка № 144949)

  1. #1
    Junior Member Репутация
    Регистрация
    04.09.2013
    Сообщений
    32
    Вес репутации
    39

    Помогите вылечить! [Trojan.Win32.ShipUp.ejfs, HEUR:Backdoor.Win32.Generic ]

    Антивирусом найден BitCoinMiner и никаких больше шагов. Компьютер ужасно тормозит, запускается долго. В соц.сети доступа нет и на других сайтах вылезает баннер, постоянно приходится обновлять хост.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) nyu, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:

    nyu

  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZPMStatus(false);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     TerminateProcessByName('c:\windows\system32\cmd.exe');
     TerminateProcessByName('c:\windows\system32\macromed\flash\flashplayerupdateservice.exe');
     TerminateProcessByName('c:\users\Димас\appdata\roaming\web\wininit.exe');
     TerminateProcessByName('c:\users\Димас\appdata\roaming\flash\cgminer.exe');
     QuarantineFile('C:\Users\Димас\AppData\Local\Rambler\RamblerUpdater\RUpdate.exe','');
     QuarantineFile('C:\Users\Димас\AppData\Local\Mail.Ru\MailRuUpdater.exe','');
     QuarantineFile('C:\Users\Димас\appdata\roaming\flash\cgminer.exe','');
     QuarantineFile('C:\Users\Димас\AppData\Roaming\Microsoft\Windows\svchost.exe','');
     QuarantineFile('C:\Windows\system32\flashplayerupdateservice.exe','');
     QuarantineFile('C:\Users\Димас\AppData\Roaming\web\xvid.bat','');
     QuarantineFile('C:\Users\Димас\AppData\Roaming\web\xvid.vbs','');
     QuarantineFile('C:\Users\Димас\AppData\Roaming\Flash\update.vbs','');
     QuarantineFile('C:\Users\Димас\AppData\Roaming\Avobt\qigyh.exe','');
     QuarantineFile('c:\users\Димас\appdata\roaming\web\wininit.exe','');
     QuarantineFile('c:\users\Димас\appdata\roaming\flash\cgminer.exe','');
     DeleteFile('c:\users\Димас\appdata\roaming\flash\cgminer.exe','32');
     DeleteFile('c:\users\Димас\appdata\roaming\web\wininit.exe','32');
     DeleteFile('C:\Users\Димас\AppData\Local\Temp\Rar$EX29.425\hstart.exe','32');
     DeleteFile('C:\Users\Димас\AppData\Roaming\web\xvid.bat');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-2505825086-2734480239-2672822498-1001\Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
     DeleteFile('C:\Users\Димас\AppData\Roaming\Avobt\qigyh.exe','32');
     DeleteFile('C:\Users\Димас\AppData\Roaming\Flash\update.vbs','32');
     DeleteFile('C:\Users\Димас\AppData\Roaming\Microsoft\Windows\svchost.exe','32');
     DeleteFile('C:\Users\Димас\AppData\Roaming\web\xvid.vbs','32');
     DeleteFile('C:\Users\Димас\qrjhhbtg.exe','32');
     DeleteFile('C:\Windows\Tasks\At1.job','32');
     DeleteFile('C:\Windows\Tasks\At2.job','32');
     DeleteFile('C:\Windows\Tasks\At3.job','32');
     DeleteFile('C:\Windows\Tasks\At4.job','32');
     DeleteFile('C:\Windows\Tasks\At5.job','32');
     DeleteFile('C:\Windows\Tasks\At6.job','32');
     DeleteFile('C:\Windows\system32\Tasks\At1','32');
     DeleteFile('C:\Windows\system32\Tasks\At2','32');
     DeleteFile('C:\Windows\system32\Tasks\At3','32');
     DeleteFile('C:\Windows\system32\Tasks\At4','32');
     DeleteFile('C:\Windows\system32\Tasks\At5','32');
     DeleteFile('C:\Windows\system32\Tasks\At6','32');
     DeleteFile('C:\Windows\system32\Tasks\DSite','32');
     DeleteFile('C:\Windows\system32\Tasks\HstartUAC','32');
     DeleteFile('C:\Windows\system32\Tasks\ksbmspn','32');
     DeleteFile('C:\Windows\system32\flashplayerupdateservice.exe','32');
     DeleteFile('C:\Users\Димас\appdata\roaming\flash\cgminer.exe','32');
     DeleteFile('C:\Users\Димас\AppData\Local\Mail.Ru\MailRuUpdater.exe','32');
     DeleteFile('C:\Users\Димас\AppData\Local\Rambler\RamblerUpdater\RUpdate.exe','32');
     DeleteFileMask('C:\Users\Димас\AppData\Local\Rambler\RamblerUpdater','*',true);
     DeleteDirectory('C:\Users\Димас\AppData\Local\Rambler\RamblerUpdater');
     DeleteFileMask('C:\Users\Димас\AppData\Local\Mail.Ru','*',true);
     DeleteDirectory('C:\Users\Димас\AppData\Local\Mail.Ru');
     DeleteFileMask('c:\users\Димас\appdata\roaming\web','*',true);
     DeleteDirectory('c:\users\Димас\appdata\roaming\web');
     DeleteFileMask('C:\Users\Димас\AppData\Roaming\Flash','*',true);
     DeleteDirectory('C:\Users\Димас\AppData\Roaming\Flash');
     DeleteFileMask('C:\Users\Димас\AppData\Roaming\Avobt','*',true);
     DeleteDirectory('C:\Users\Димас\AppData\Roaming\Avobt');
     DelBHO('{520BD054-EEEE-487c-84E8-D5B2DFFE5C18}');
     DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
     DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
     DelBHO('{D0F4A166-B8D4-48b8-9D63-80849FE137CB}');
     DelBHO('{9BFBA68E-E21B-458E-AE12-FE85E903D2C0}');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     DelBHO('{84FF7BD6-B47F-46F8-9130-01B2696B36CB}');
     DelBHO('{0FB6A909-6086-458F-BD92-1F8EE10042A0}');
     BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('SCU',2,2,true);
    ExecuteRepair(3);
    ExecuteRepair(4);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте логи RSIT.
    WBR,
    Vadim

  6. Это понравилось:


  7. #4
    Junior Member Репутация
    Регистрация
    04.09.2013
    Сообщений
    32
    Вес репутации
    39

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    А это:
    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
    ?
    WBR,
    Vadim

  9. Это понравилось:

    nyu

  10. #6
    Junior Member Репутация
    Регистрация
    04.09.2013
    Сообщений
    32
    Вес репутации
    39

  11. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('BrowserProtect');
     DeleteService('BrowserProtect');
     TerminateProcessByName('c:\program files\tor\tor.exe');
     QuarantineFile('c:\program files\tor\tor.exe','');
     TerminateProcessByName('c:\windows\system32\macromed\flash\flashplayerupdateservice.exe');
     QuarantineFile('c:\windows\system32\macromed\flash\flashplayerupdateservice.exe','');
     DeleteFile('C:\Users\Димас\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Hstart - cmd.exe .lnk');
     DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayerUpdate','32');
     DeleteFile('C:\Users\348B~1\AppData\Local\Temp\AA55.tmp.exe','32');
     DeleteFile('C:\Windows\system32\flashplayerupdateservice.exe','32');
     DeleteFile('c:\windows\system32\macromed\flash\flashplayerupdateservice.exe','32');
     DeleteFile('c:\program files\tor\tor.exe','32');
     DeleteFile('C:\Users\Димас\AppData\Local\ConvertAd\ConvertAd.exe');
     DeleteFile('C:\Windows\tasks\Lyrmix Update.job','32');
     DeleteFile('C:\Windows\tasks\MetaCrawler.job');
     DelBHO('{D0F4A166-B8D4-48b8-9D63-80849FE137CB}');
     DelBHO('{37483b40-c254-4a72-bda4-22ee90182c1e}');
     DelBHO('{87955fc8-0f8d-46cf-97b1-b89e05ef90bb}');
     DelBHO('{977AE9CC-AF83-45E8-9E03-E2798216E2D5}');
     DelBHO('{fe063412-bea4-4d76-8ed3-183be6220d17}');
     DelBHO('{DB536AF2-E422-402d-B7FD-887297F1A198}');
     DelBHO('{C1AF5FA5-852C-4C90-812E-A7F75E011D87}');
     DelBHO('{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}');
     DelBHO('{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}');
     DelBHO('{58124A0B-DC32-4180-9BFF-E0E21AE34026}');
     DelBHO('{82E1477C-B154-48D3-9891-33D83C26BCD3}');
    ExecuteFile('C:\Users\Димас\AppData\Roaming\BabSolution\Shared\GUninstaller.exe', ' -key "Delta Chrome Toolbar" -rmkey -rmbus "Delta Chrome Toolbar" -plgdll enhancedNT -nontfy', 0, 25000, false);
    ExecuteFile('C:\Program Files\Delta\delta\1.8.24.6\GUninstaller.exe', ' -uprtc -rmbus "Delta toolbar" -nontfy -bname=dlt -key "delta"', 0, 25000, false);
    ExecuteSysClean;
    BC_ImportDeletedList;
    BC_Activate;
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Удалите через панель управления -> "Программы и компоненты" следующие программы:

    Bonanza Deals
    BrowserDefender
    [email protected]
    IMinent Toolbar
    IMinent
    Lyrmix
    metaCrawler
    Smart Suggestor

    Скачайте AdwCleaner (by Xplode) и сохраните его на рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    Когда сканирование будет завершено, отчет будет сохранен в файле C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.
    Последний раз редактировалось Vvvyg; 04.09.2013 в 12:26.
    WBR,
    Vadim

  12. Это понравилось:


  13. #8
    Junior Member Репутация
    Регистрация
    04.09.2013
    Сообщений
    32
    Вес репутации
    39

  14. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Да, загажен компьютер основательно...
    Если ещё не закрыли программу - нажмите кнопку "Clean" и дождитесь окончания удаления (с последующей перезагрузкой).

    Сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  15. Это понравилось:


  16. #10
    Junior Member Репутация
    Регистрация
    04.09.2013
    Сообщений
    32
    Вес репутации
    39
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Да, загажен компьютер основательно...
    Если ещё не закрыли программу - нажмите кнопку "Clean" и дождитесь окончания удаления (с последующей перезагрузкой).
    Поздно... "Clean" не нажимала, комп перезапустила... И ещё: metaCrawler не удаляется

    - - - Добавлено - - -
    Последний раз редактировалось nyu; 04.09.2013 в 14:45.

  17. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Отключите временно антивирус, это он на AdwCleaner реагирует.
    В AdwCleaner - Scan и по завершении - Clean.
    После перезагрузки делайте полный образ автозапуска uVS.
    WBR,
    Vadim

  18. Это понравилось:

    nyu

  19. #12
    Junior Member Репутация
    Регистрация
    04.09.2013
    Сообщений
    32
    Вес репутации
    39

  20. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    delref %SystemDrive%\USERS\348B~1\APPDATA\LOCAL\TEMP\RAR$EX29.425\HSTART.EXE
    delref RETCODE.BAT
    delref %SystemDrive%\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.DLL
    zoo %SystemDrive%\USERS\ДИМАС\DOCUMENTS\13237839.EXE
    del %SystemDrive%\USERS\ДИМАС\DOCUMENTS\13237839.EXE
    del %SystemDrive%\USERS\ДИМАС\DESKTOP\НОВ\AVZ4\QUARANTINE\2013-09-04\AVZ00001.DTA
    del %SystemDrive%\USERS\ДИМАС\DESKTOP\НОВ\AVZ4\QUARANTINE\2013-09-04\AVZ00002.DTA
    delref %SystemDrive%\USERS\348B~1\APPDATA\ROAMING\METACR~1\UPDATE~1\UPDATE~1.EXE
    delref %Sys32%\FLASHPLAYERUPDATESERVICE.EXE
    delref %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE
    exec MsiExec.exe /quiet /I{12644DC5-2271-442B-816F-8CFFD3DDDF32}
    exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216031FF}
    exec MsiExec.exe /quiet /I{BFE6D377-F558-4E95-A062-673941B9BA5A}
    exec MsiExec.exe /quiet /I{1B62D580-3D56-11E2-9BD5-00268339AEE5}
    exec "C:\Users\Димас\AppData\Local\ConvertAd\uninstall.exe"
    exec "C:\Program Files\Hamster Soft\Hamster Lite Archiver\unins000.exe"
    deltmp
    restart
    На вопросы об удалении программ рекомендую соглашаться.
    Компьютер перезагрузится.

    information

    Уведомление

    Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Скачайте и установите Java 6 Update 45 - версия, совместима с банк- клиентами. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности




    Упакуйте содержимое папки ZOO с помощью WinRar в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сообщите, что с проблемами.
    WBR,
    Vadim

  21. Это понравилось:

    nyu

  22. #14
    Junior Member Репутация
    Регистрация
    04.09.2013
    Сообщений
    32
    Вес репутации
    39
    Выполняю скрипт - ошибка Вложение 434521

  23. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скрипт был написан не для АВЗ, а для UVs. Выполняйте скрипт в UVs
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  24. Это понравилось:


  25. #16
    Junior Member Репутация
    Регистрация
    04.09.2013
    Сообщений
    32
    Вес репутации
    39
    Отблагодарю обязательно! Всё работает! Здесь замечательные мастера своего дела)))

  26. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  27. Это понравилось:


  28. #18
    Junior Member Репутация
    Регистрация
    04.09.2013
    Сообщений
    32
    Вес репутации
    39
    Пока что обновляю требования. Но уже снова подцепила вирус. Ни один поисковик не работает, не говоря о соц. сетях.

  29. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Давайте новый полный образ автозапуска uVS.
    WBR,
    Vadim

  30. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Удалите старые вложения. Или на rghost,ru и ссылку в тему.
    WBR,
    Vadim

  • Уважаемый(ая) nyu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите вылечить
      От EZY в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.02.2013, 00:00
    2. Ответов: 10
      Последнее сообщение: 11.02.2013, 23:41
    3. Помогите вылечить!!!!!
      От михаилtailand в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 12.12.2012, 19:43
    4. помогите вылечить
      От evoname в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.02.2011, 02:32
    5. помогите вылечить
      От morale в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.08.2009, 12:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00741 seconds with 19 queries