Добрый день! Постоянно появляется червь Win32/AutoRun.Agent.TV. Обнаруживается НОДом, возникает в тех же папках, из которых ранее был удален.
Прилагаю логи и надеюсь на Вашу помощь.
Добрый день! Постоянно появляется червь Win32/AutoRun.Agent.TV. Обнаруживается НОДом, возникает в тех же папках, из которых ранее был удален.
Прилагаю логи и надеюсь на Вашу помощь.
Уважаемый(ая) Invictus, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.Код:R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Пофиксил строки. Прилагаю лог MBAM.
Лог сделан с устаревшей базой данных.Версия базы данных: v2014.03.10.06
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Хм... Обновился по Вашей ссылке в раннем посте, до обновления были базы 2013 года.
Как считаете, стоит ли удалять ту заразу, которую он сумел обнаружить?
Лучше сделать лог с актуальными базами т.к. могут быть ложные срабатывания у программы со старыми базами.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Согласен с Вами, но некоторые файлы действительно заражены. Особенно те двое, что были распознаны MBAM как загрузчики троянов (vxd.exe).
Если они будут удалены, не появятся ли они снова?
Есть ли определенный скрипт для этой ситуации?
Прошу прощения за долгую задержку.
Касательно загрузчиков: тут-то я и напортачил - удалил . После этого ровно на один день зараза исчезла.
Провел новое сканирование: теперь их стало больше.
Прилагаю новый лог.
Скрытый текст
Все настолько плохо?Скрыть
Последний раз редактировалось Invictus; 06.09.2014 в 20:03. Причина: Забыл лог
Базы по прежнему устаревшие.Версия базы данных: v2014.03.10.06
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Виноват, нашел базы за 27.08.2014.
Выложу свежий лог после обновления и сканирования.
UPD: свежий лог.
Последний раз редактировалось Invictus; 06.09.2014 в 21:52. Причина: Свежий лог
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:Обнаруженные параметры в реестре: 2 HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} (PUP.Optional.FrostwireTB.A) -> Параметры: -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (PUP.Optional.FrostwireTB.A) -> Параметры: |ФJf@Ў*BCШt@ -> Действие не было предпринято. Обнаруженные папки: 2 C:\Users\Iskander\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Iskander\AppData\Roaming\OpenCandy\8063B97548164201AD044711044E477D (PUP.Optional.OpenCandy) -> Действие не было предпринято. Обнаруженные файлы: C:\Users\Iskander\AppData\Roaming\OpenCandy\8063B97548164201AD044711044E477D\Trial-14.0.1000.88_en-US_1004739_ROW-EN.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Готово, удалил указанные файлы.
Что с проблемой?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Пока все тихо, атак нет.
Большое Вам спасибо за помощь.
MBAM деинсталируйте.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Уважаемый(ая) Invictus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.