Вирус из Skype и Gtalk

Printable View

10.03.2013, 20:17
dr_arut

Вложений: 2

Вирус из Skype и Gtalk

Здравствуйте, комп поймал через скайп вот этот вирус (троян) [URL]https://www.virustotal.com/ru/file/ed1e474bd6c4c2def748ed7462f079acada1aaca7bb3feb7916a8912ab7a074c/analysis/1362729474/[/URL]
В общем проблема следующего содержания, комп доступен только через RDP. Т.е. безопасные режимы и т.д. не доступны. В момент заражения на системе (win7 x64 sp1) стоял только Microsoft Security Essential. После заражения сразу установил Comodo Internet Security. При сканировании Microsoft Security Essential и Comodo что-то выявили и удалили. AVPTool и Dr.Web CureIt ничего не нашли. Выкладываю логи сделанные по инструкции virusinfo.info

Подскажите пожалуйста остался ли вирус, если да то как его удалить?
P.S.Вызывает у меня сомнение вот это [CODE]F3 - REG:win.ini: load=C:\Users\Comp\LOCALS~1\Temp\mszbkynsa.pif[/CODE] Сам файл удалён антивирусом как троян.
hosts файл сам правил.
10.03.2013, 20:18
Info_bot

Уважаемый(ая) [B]dr_arut[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.03.2013, 21:45
thyrex

Пофиксите в HiJack
[CODE]F3 - REG:win.ini: load=C:\Users\Comp\LOCALS~1\Temp\mszbkynsa.pif[/CODE]Сделайте новый лог
10.03.2013, 22:38
dr_arut

Вложений: 1

Сделал, эта строчка сохранилась.
11.03.2013, 21:23
Techno

[quote="dr_arut;980911"]Сделал, эта строчка сохранилась.[/quote]
Программу от имени администратора запускали?

Проверьте в skype:
[CODE]Настройки > Дополнительно > Расширенные настройки > Контроль доступа других программ к Skype[/CODE]
11.03.2013, 21:47
dr_arut

[QUOTE]Программу от имени администратора запускали?[/QUOTE]
Да.

Зашёл в настройки скайпа, какой-то экзешный файл был, я его удалил.
11.03.2013, 21:57
Techno

В реестре:
[CODE]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit[/CODE]
Ищите load=C:\Users\Comp\LOCALS~1\Temp\mszbkynsa.pif
11.03.2013, 22:05
dr_arut

При попытке удалить из реестра - "Не удаётся удалить все выделенные параметры"

Думаю без безопасного режима ничего не получится сделать :(
11.03.2013, 22:46
Techno

[quote="dr_arut;981233"]При попытке удалить из реестра - "Не удаётся удалить все выделенные параметры"[/quote]
Нужно дать себе права на эту ветку. Правой кнопкой - разрешения.

Лишнего только не удалите, только тот параметр, где [B]C:\Users\Comp\LOCALS~1\Temp\mszbkynsa.pif[/B] в значении.
12.03.2013, 00:02
dr_arut

Спасибо, удалилась.
12.03.2013, 14:03
Techno

Проблемы еще какие-нибудь остались?
12.03.2013, 15:57
dr_arut

Честно говоря я не знаю вирус остался или нет, на флешке в папке recycler очень много троянов появилось, но их заблокировал comodo и поэтому я их удалить не могу. А в остальном вроде всё спокойно. Спасибо за помощь
12.03.2013, 18:07
regist

[quote="dr_arut;981410"]но их заблокировал comodo и поэтому я их удалить не могу.[/quote]
а комод удалить их не предлагает ?

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
12.03.2013, 21:48
dr_arut

Вложений: 1

Комодо не предлагает удалить, если пытаюсь удалить через комодо, вылезает ошибка, в итоге не удаляется.

Выкладываю лог МВАМ
12.03.2013, 22:03
regist

перед сканированием флешку подключали ? если нет переделайте лог.
12.03.2013, 22:23
dr_arut

Вложений: 1

Просканировал флэшку, оказалось по умолчанию она не сканируется. Вот лог
12.03.2013, 23:27
regist

ничего подозрительного не видно ....

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Могу только посоветовать отключить автозапуск с флешек

[CODE]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(false);
end.[/CODE]

после перезагрузки можете отключиться от интернета и отключить комодо, а потом удалить эту папку вручную. Только осторожно, чтобы не запустить файлы.
13.03.2013, 07:49
dr_arut

[QUOTE=regist;981577]после перезагрузки можете отключиться от интернета и отключить комодо, а потом удалить эту папку вручную. Только осторожно, чтобы не запустить файлы.[/QUOTE]

Спасибо за помощь, но...
Завтра комп будет физически доступен и я больше склоняюсь к восстановлению системы из бэкапа акрониса. А с флэшки удалю папку с троянами подключив к линуксовскому компу, там уж точно ничего не случится.