Добрый день! Схватил вирус, причина заражения мне не понятна. Никаких писем с решением суда .exe я не открывал. Возможно это скаченный файл - есть подозрение на word файл с резюме скаченный на форуме, после которого word долго что-то обновлял (макросы отключены с уведомлением). Кроме того, ESS5 находит только txt и htm с классификацией filecoder.CB. Файлы которые явно выдают источник заражения, на мой взгляд, не выявлены. Хотя новых заражений не происходит. Добавил текстовые уведомления о заражении и примеры зашифрованных файлов в архивах.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) asus04, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Обнаруженные файлы:
C:\Users\sham\Downloads\DTLite4471-0333.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\sham\Downloads\outlast-[torrentino].exe (PUP.Optional.ZvuZona) -> Действие не было предпринято.
C:\Users\sham\Downloads\PDFCreatorSetup.exe (PUP.Optional.Bundle) -> Действие не было предпринято.
C:\Users\sham\Downloads\PDFReaderSetup.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
C:\Users\sham\Downloads\portal-2-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
D:\downloads\youtube-downloader.exe (PUP.Adware.Agent) -> Действие не было предпринято.
D:\downloads\torrent\bsplayer pro 2.57.1048 Final NNTT k236\Keygen\CORE10k.EXE (PUP.Keygen.Intro) -> Действие не было предпринято.
D:\work\888\ФПК2011\Программы\Снятие, подбор и опредление пароля\PassView 1.5\PassMaker.exe (PUP.PassView) -> Действие не было предпринято.
D:\work\888\ФПК2011\Программы\Снятие, подбор и опредление пароля\ProduKey v1.01\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
E:\Новая папка\Daemon Tools Pro Advanced v5.1.0.0333 Final ML_RUS\DAEMONToolsPro510-0333.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
E:\Новая папка\Winamp Pro v 5.622 Build 3189 Final\KeyGen by\CORE\CORE10k.EXE (PUP.Keygen.Intro) -> Действие не было предпринято.
E:\Новая папка\Winamp Pro v 5.622 Build 3189 Final\KeyGen by\CORE\keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Обнаруженные ключи в реестре: 6
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Действие не было предпринято.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma (PUP.Optional.QuickStart.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Действие не было предпринято.
HKLM\Software\awesomehpSoftware (PUP.Optional.Awesomehp.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято.
Объекты реестра обнаружены: 6
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.Awesomehp.A) -> Плохо: (http://www.awesomehp.com/?type=hp&ts=1394667435&from=amt&uid=WDCXWD1001FALS-00E8B0_WD-WMATV691987319873) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command| (PUP.Optional.Awesomehp.A) -> Плохо: (C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1394667435&from=amt&uid=WDCXWD1001FALS-00E8B0_WD-WMATV691987319873) Хорошо: (iexplore.exe) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (PUP.Optional.Awesomehp.A) -> Плохо: (http://www.awesomehp.com/web/?type=ds&ts=1394667435&from=amt&uid=WDCXWD1001FALS-00E8B0_WD-WMATV691987319873&q={searchTerms}) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.Awesomehp.A) -> Плохо: (http://www.awesomehp.com/?type=hp&ts=1394667435&from=amt&uid=WDCXWD1001FALS-00E8B0_WD-WMATV691987319873) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|DefaultScope (PUP.Optional.Qone8) -> Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}) Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}) -> Действие не было предпринято.
HKLM\Software\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.Awesomehp.A) -> Плохо: (http://www.awesomehp.com/?type=hp&ts=1394667435&from=amt&uid=WDCXWD1001FALS-00E8B0_WD-WMATV691987319873) Хорошо: (http://www.google.com) -> Действие не было предпринято.
Дождался окончания сканирования и удалил все. Видимо при открытии браузера оно опять себя в реестр прописывает. Вы думаете эти баннеры как то связаны с моим вирусом?
Просканировал быстрым после перезагрузки, реестр чист - но в мозиле все равно есть всплывающий баннер.
Последний раз редактировалось asus04; 28.03.2014 в 00:52.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
У меня никак не грузится самый посещаемый мною форум dnbarena.ru (на работе заходит спокойно)
Внизу (строка состояния вроде называется) появляется superfish.com затем baninj.com и пишет, что соединение нельзя установить. В разных браузерах пробовал - бесполезно. То, что меня там забанили по ip маловероятно т.к. я редко пишу там, только читаю. Да и немодерируется он почти.
Файл hosts чистый (закоменчен).
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
По окончанию сканирования снимите галочки со следующих строк:
Код:
Folder Found C:\Program Files (x86)\Mail.Ru
Folder Found C:\Users\sham\AppData\Local\Mail.Ru
Нажмите кнопку "Clean" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD\ not found.
========== COMMANDS ==========
OTM by OldTimer - Version 3.1.21.0 log created on 04022014_214211
При перезагрузке появилось окошко командной строки, что то выполнилось и оно закрылось.
В msconfig есть запись "с:\ProgramData\Microsoft\Windows\Startmenu\Progra ms\Startup\API.exe" (Производитель "неизвестный").
Я перешел в папку по этой директории - там лежит фаил desktop.ini со следующим содержанием:
Запустите, выберите проверку файлов за последние три месяца и нажмите "Продолжить". Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Подробнее читайте в руководстве