Phoneix.exe

Printable View

16.07.2013, 16:45
Sigmaren

Вложений: 3

Phoneix.exe

Добрый вечер, недавно скачал программу searchsettings и подозреваю что данный троян скачался вместе с ней. Теперь при загрузке все время висит в процессах. Находится в директории C:\WINDOWS\Winshell. Там два файла : phoenix.exe и phoenix.cfg. Ожидаю вашей помощи.
16.07.2013, 16:46
Info_bot

Уважаемый(ая) [B]Sigmaren[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
17.07.2013, 22:01
Sigmaren

Кто-нибудь?
18.07.2013, 08:39
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{39AA6D29-4236-4F25-A36A-3410EF5283D9}');
DelBHO('{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}');
QuarantineFile('C:\WINDOWS\Winshell\phoenix.exe','');
QuarantineFile('C:\Program Files\Common Files\System\ado\ntsysdriver.exe','');
DeleteFile('C:\Program Files\Common Files\System\ado\ntsysdriver.exe','32');
DeleteFile('\\?\globalroot\systemroot\system32\z2B7RZs.exe','32');
DeleteFile('C:\WINDOWS\Winshell\phoenix.exe');
DeleteFileMask('C:\WINDOWS\Winshell','*',false);
DeleteDirectory('C:\WINDOWS\Winshell');
ClearHostsFile;
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
18.07.2013, 11:30
Sigmaren

Скопировал код, нажал выполнить из буфера обмена, но выдает такую вот ошибку : "Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено!"
18.07.2013, 12:17
Vvvyg

Выполняйте скрипт в [B]AVZ[/B], как я и просил.
18.07.2013, 13:19
Sigmaren

Вложений: 1

Аа все, извиняюсь за оплошность, перепутал программы. Выполнил скрит, после перезагрузки выскочило системное сообщение что "программа настройки системы находится в режиме диагностической или селективной загрузки" и в рекомендациях указано что нужно установить режим обычной загрузки на вкладки общие. Вопрос нужно ли это установить или лучше не менять?. Далее, при загрузке на этот раз phoenix.exe не запустился в процессах. В папке Winshell его тоже нету, как и phoenix.cfg. Но там осталась папка "plugins" которая хранит две папки "opencl" и "phatk2" В первой папке 4 файла, во второй 3. В обеих папка есть повторяющиеся файлы __init__.py и __init__.pyo. Avast распознает их как вирусы, но удалить не может.
18.07.2013, 14:04
Vvvyg

Да, установите режим обычной загрузки.
Вычистите содержимое папки Winshell и удалите её вручную.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216031F0}
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216032FF}
exec MsiExec.exe /quiet /X{1111706F-666A-4037-7777-210328764D10}
uidel C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe uninstall
deltmp
restart[/code]Компьютер перезагрузится.

Установите [url=http://www.microsoft.com/rus/windows/internet-explorer/default.aspx]Internet Explorer 8[/url] - [u]даже если им не пользуетесь[/u], это критически важный для безопасности компонент Windows.

Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
18.07.2013, 17:26
Sigmaren

Все выполнил, уязвимости устранил, теперь все стало как прежде. Спасибо больше за помощь.
18.07.2013, 17:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]