Показано с 1 по 17 из 17.

Червь Win32/AutoRun.Agent.TV (заявка № 166013)

  1. #1
    Junior Member Репутация
    Регистрация
    29.08.2014
    Сообщений
    12
    Вес репутации
    35

    Thumbs up Червь Win32/AutoRun.Agent.TV

    Добрый день! Постоянно появляется червь Win32/AutoRun.Agent.TV. Обнаруживается НОДом, возникает в тех же папках, из которых ранее был удален.
    Прилагаю логи и надеюсь на Вашу помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Invictus, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  6. Это понравилось:


  7. #4
    Junior Member Репутация
    Регистрация
    29.08.2014
    Сообщений
    12
    Вес репутации
    35
    Пофиксил строки. Прилагаю лог MBAM.
    Вложения Вложения

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Версия базы данных: v2014.03.10.06
    Лог сделан с устаревшей базой данных.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #6
    Junior Member Репутация
    Регистрация
    29.08.2014
    Сообщений
    12
    Вес репутации
    35
    Хм... Обновился по Вашей ссылке в раннем посте, до обновления были базы 2013 года.
    Как считаете, стоит ли удалять ту заразу, которую он сумел обнаружить?

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Лучше сделать лог с актуальными базами т.к. могут быть ложные срабатывания у программы со старыми базами.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #8
    Junior Member Репутация
    Регистрация
    29.08.2014
    Сообщений
    12
    Вес репутации
    35
    Согласен с Вами, но некоторые файлы действительно заражены. Особенно те двое, что были распознаны MBAM как загрузчики троянов (vxd.exe).
    Если они будут удалены, не появятся ли они снова?
    Есть ли определенный скрипт для этой ситуации?

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Invictus, прикрепите лог и по логу будет видно, что делать дальше.

    Цитата Сообщение от Invictus Посмотреть сообщение
    загрузчики троянов (vxd.exe).
    Заархивируйте эти два файла в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

  13. #10
    Junior Member Репутация
    Регистрация
    29.08.2014
    Сообщений
    12
    Вес репутации
    35
    Прошу прощения за долгую задержку.
    Касательно загрузчиков: тут-то я и напортачил - удалил . После этого ровно на один день зараза исчезла.
    Провел новое сканирование: теперь их стало больше.
    Прилагаю новый лог.

    Скрытый текст

    Все настолько плохо?
    Скрыть
    Вложения Вложения
    Последний раз редактировалось Invictus; 06.09.2014 в 20:03. Причина: Забыл лог

  14. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Версия базы данных: v2014.03.10.06
    Базы по прежнему устаревшие.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #12
    Junior Member Репутация
    Регистрация
    29.08.2014
    Сообщений
    12
    Вес репутации
    35
    Виноват, нашел базы за 27.08.2014.
    Выложу свежий лог после обновления и сканирования.

    UPD: свежий лог.
    Вложения Вложения
    Последний раз редактировалось Invictus; 06.09.2014 в 21:52. Причина: Свежий лог

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные параметры в реестре:  2
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} (PUP.Optional.FrostwireTB.A) -> Параметры:  -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (PUP.Optional.FrostwireTB.A) -> Параметры: |ФJf@Ў*BCШt@ -> Действие не было предпринято.
    
    Обнаруженные папки:  2
    C:\Users\Iskander\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\Iskander\AppData\Roaming\OpenCandy\8063B97548164201AD044711044E477D (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Users\Iskander\AppData\Roaming\OpenCandy\8063B97548164201AD044711044E477D\Trial-14.0.1000.88_en-US_1004739_ROW-EN.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. Это понравилось:


  18. #14
    Junior Member Репутация
    Регистрация
    29.08.2014
    Сообщений
    12
    Вес репутации
    35
    Готово, удалил указанные файлы.

  19. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  20. #16
    Junior Member Репутация
    Регистрация
    29.08.2014
    Сообщений
    12
    Вес репутации
    35
    Пока все тихо, атак нет.
    Большое Вам спасибо за помощь.

  21. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    MBAM деинсталируйте.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  22. Это понравилось:


  • Уважаемый(ая) Invictus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. autorun.i - Win32/Tifaut.C червь
      От eug@vectra в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.10.2010, 14:18
    2. Win32/autoRun.FaKeAlert.AF червь
      От Riddick в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.07.2009, 14:52
    3. Червь Win32/autorun.FakeAlert.AF
      От Ил Владимирович в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.06.2009, 13:51
    4. Червь Win32/AutoRun.FakeAlert.M
      От MidasInc в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.12.2008, 17:43
    5. Win32/AutoRun.Cob червь
      От Leks в разделе Вредоносные программы
      Ответов: 7
      Последнее сообщение: 26.06.2008, 12:04

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00296 seconds with 20 queries