Описание: коллеги жалуются, что в скайпе рассылается вирус.
Google Chrome не открывается, либо просит права администратора, сообщения в skype дублируются.
Вирус создает свою копию с именем как у системных программ (rpcping, telnet, и т.д.) в случайном подкаталоге внутри %appdata% и держит в автозагрузке ключ со случайным именем.
При просмотре автозагрузки ключа не видно, его становится видно после удаления этого файла и ключа автозагрузки из под другого пользователя с админ правами.
Логи прикладываю. В архиве bthudtask_virus.zip - файл вируса (пароль на архив 123456).
Как его правильно лечить?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Aleksey K., спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\construktor\AppData\Roaming\Corel\Messages\540215253_601005\RU\MessageCache2\Workflow\1205857636161\bthudtask.exe','');
DeleteFile('C:\Users\construktor\AppData\Roaming\Corel\Messages\540215253_601005\RU\MessageCache2\Workflow\1205857636161\bthudtask.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xYxRDXpeEftf+K8nRQ==');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [xYxRDXpeEftf+K8nRQ==] "C:\Users\construktor\AppData\Roaming\Corel\Messages\540215253_601005\RU\MessageCache2\Workflow\1205857636161\bthudtask.exe"
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
4. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
К сожалению, файл я уже удалил из-под другого пользователя, ключа в автозагрузке нет (я его выключил в msconfig, он там отображается.) Но в реестре его нет, из чего делаю вывод, что происходит нечто плохое.
Файлик, который должен был быть в карантине - в архиве (пароль 123456)
Пофиксил все, что вы просили. Выкладываю новые логи.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: