-
Junior Member
- Вес репутации
- 35
Перестали запускаться программы [Backdoor.Win32.Androm.dfo, Trojan.Win32.Yakes.pbko
]
Добрый день.
Открыл архив. После чего перестали запускаться некоторые программы (icq, sippoin, nod32).
Если запускать программы, то они либо выдают ошибку либо просто не грузятся. Автозагрузка очистилась (видимо вирусом)
В диспетчере стали появляться странные процессы. Например Zelo.exe в количестве 20 штук.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) foxconn, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте !!!
отключите антивирусную программу
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\user\appdata\roaming\update\explorer.exe','');
QuarantineFile('C:\Users\user\appdata\roaming\c731200','');
QuarantineFile('C:\Users\user\AppData\Roaming\WindowsUpdate\Live.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\WindowsUpdate\Updater.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe','');
DeleteFile('C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe','32');
DeleteFile('C:\Users\user\appdata\roaming\update\explorer.exe','32');
DeleteFile('C:\Users\user\appdata\roaming\windowsupdate\live.exe','32');
DeleteFile('C:\Users\user\appdata\roaming\windowsupdate\updater.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 35
-
отключите антивирусную программу
Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
O4 - HKCU\..\Run: [Windows Update Installer] C:\Users\user\AppData\Roaming\WindowsUpdate\Updater.exe
O4 - HKCU\..\Run: [Windows Live Installer] C:\Users\user\AppData\Roaming\WindowsUpdate\Live.exe
O4 - HKCU\..\Run: [Windows Live] C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Live] C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe
Выполните скрипт в AVZ: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe','');
QuarantineFile('C:\Users\user\appdata\roaming\c731200','');
QuarantineFile('C:\Users\user\appdata\roaming\update\explorer.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\WindowsUpdate\Live.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\WindowsUpdate\Updater.exe','');
DeleteFile('C:\Users\user\appdata\roaming\windowsupdate\updater.exe','32');
DeleteFile('C:\Users\user\appdata\roaming\windowsupdate\live.exe','32');
DeleteFile('C:\Users\user\appdata\roaming\update\explorer.exe','32');
DeleteFile('C:\Users\user\appdata\roaming\c731200','32');
DeleteFile('C:\Users\user\AppData\Roaming\Windows Live\ugoxxtgcie.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 35
-
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 35
Запускал start.exe от имени администратора.
Пункт "Запустить под текущим пользователем" выдает "Ошибка 2".
-
Сделайте лог в безопасном режиме, загрузившись через F8 http://windows.microsoft.com/ru-ru/w...mode=windows-7
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 35
-
Выполните скрипт в uVS Как выполнить скрипт в uVS
Код:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWS LIVE\UGOXXTGCIE.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWS LIVE\UGOXXTGCIE.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\IKXGXO.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\IKXGXO.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\C731200
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\C731200
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE\EXPLORER.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE\EXPLORER.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE\UPDATE.EXE
deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE
deltmp
restart
czoo
Сделайте новый полный образ автозапуска uVS.
P.S. В соответствии с инструкцией Как выполнить скрипт в uVS
6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)
Не забудьте загрузить архив ZOO по ссылке прислать запрошенный карантин.
Последний раз редактировалось mrak74; 18.02.2016 в 15:54.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 35
Программы стали запускаться
-
Выполните скрипт в uVS Как выполнить скрипт в uVS
Код:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\Y81KWN24\AA_V3[1].EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.1_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
restart
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Проблема решена ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 45
- В ходе лечения обнаружены вредоносные программы:
- c:\users\user\appdata\roaming\c731200 - Worm.Win32.Ngrbot.aywx
- c:\users\user\appdata\roaming\c731200 - HEUR:Trojan.Win32.Generic
- c:\users\user\appdata\roaming\c731200 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
- c:\users\user\appdata\roaming\update\explorer.exe - Worm.Win32.Ngrbot.aywx
- c:\users\user\appdata\roaming\update\explorer.exe - HEUR:Trojan.Win32.Generic
- c:\users\user\appdata\roaming\windows live\ugoxxtgcie.exe - Trojan.Win32.Bublik.efeb
- c:\users\user\appdata\roaming\windows live\ugoxxtgcie.exe - Trojan.Win32.Bublik.eexz
- c:\users\user\appdata\roaming\windowsupdate\live.e xe - Trojan.Win32.Bublik.efec
- c:\users\user\appdata\roaming\windowsupdate\live.e xe - Trojan.Win32.Bublik.efds
- c:\users\user\appdata\roaming\windowsupdate\update r.exe - HEUR:Trojan.Win32.Generic
- \c731200._612b5c2d48770b127dd83cd1d7db09b9decb8d20 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
- \explorer.exe._612b5c2d48770b127dd83cd1d7db09b9dec b8d20 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
- \ikxgxo.exe._612b5c2d48770b127dd83cd1d7db09b9decb8 d20 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
- \live.exe._95a08d4ba8c4c7e3a71539cfe9d46a1ec61de9b 8 - Trojan.Win32.Yakes.pbko
- \mobsync.exe._303663801c178148473b504ac0f2b491e545 fd38 - Backdoor.Win32.Androm.dfo
- \ugoxxtgcie.exe._aa365ffd2aca2bc10d57aa997454f9d90 b9b0074 - Trojan.Win32.Bublik.efec
- \update.exe._612b5c2d48770b127dd83cd1d7db09b9decb8 d20 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
- \updater.exe._612b5c2d48770b127dd83cd1d7db09b9decb 8d20 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Encoder.514 )
-