Помогите. ПК Заражен. Есть подозрительные соединения [Trojan-PSW.Win32.Tepfer.qhql, Trojan-PSW.Win32.Tepfer.pkhp ]

Printable View

31.08.2013, 18:16
forever

Помогите. ПК Заражен. Есть подозрительные соединения [Trojan-PSW.Win32.Tepfer.qhql, Trojan-PSW.Win32.Tepfer.pkhp ]

Добрый день. Посмотрите пожалуйста логи.
ПК похоже заражен вирусами.. Помогите пожалуйста вылечить.

Так же обнаружил подозрительное соединение которое идет от процесса mspaint - > на IP china

Заранее благодарен.
31.08.2013, 18:17
Info_bot

Уважаемый(ая) [B]forever[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
31.08.2013, 19:58
mike 1

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])

1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
TerminateProcessByName('c:\users\admin\appdata\roaming\f90e.exe');
TerminateProcessByName('c:\users\admin\appdata\roaming\f757.exe');
TerminateProcessByName('c:\users\admin\appdata\roaming\e437.exe');
TerminateProcessByName('c:\users\admin\appdata\roaming\dca3.exe');
TerminateProcessByName('c:\users\admin\appdata\roaming\d5bd.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Rbtutl.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Nbtuth.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Ebtuty.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe','');
QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\f90e.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\f757.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\e437.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\dca3.exe','');
QuarantineFile('c:\users\admin\appdata\roaming\d5bd.exe','');
DeleteFile('c:\users\admin\appdata\roaming\d5bd.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\dca3.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\e437.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\f757.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\f90e.exe','32');
DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Ebtuty.exe','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Nbtuth.exe','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Rbtutl.exe','32');
DeleteFile('C:\Users\Admin\appdata\roaming\screensaverpro.scr','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','26509');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','inetb123');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','x222n9');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xshin1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n3');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n6');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n7');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n8');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n9');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','x1h2n9');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dqklonee');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rbtutl');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nbtuth');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ebtuty');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

2. Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr
O4 - HKCU\..\Run: [Nbtuth] C:\Users\Admin\AppData\Roaming\Microsoft\Nbtuth.exe
O4 - HKCU\..\Run: [Ebtuty] C:\Users\Admin\AppData\Roaming\Microsoft\Ebtuty.exe
O4 - HKCU\..\Run: [x222n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe
O4 - HKCU\..\Run: [xsh2n6] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe
O4 - HKCU\..\Run: [xsh2n5] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe
O4 - HKCU\..\Run: [xsh2n4] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe
O4 - HKCU\..\Run: [xsh2n3] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe
O4 - HKCU\..\Run: [xsh2n1] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe
O4 - HKCU\..\Run: [xshin1] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe
O4 - HKCU\..\Run: [x1h2n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe
O4 - HKCU\..\Run: [xsh2n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe
O4 - HKCU\..\Run: [xsh2n8] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe
O4 - HKCU\..\Run: [xsh2n7] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe
O4 - HKCU\..\Run: [inetb123] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe
O4 - HKCU\..\Run: [Rbtutl] C:\Users\Admin\AppData\Roaming\Microsoft\Rbtutl.exe
O4 - HKCU\..\Run: [dqklonee] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe
O4 - HKLM\..\Policies\Explorer\Run: [26509] C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe
[/CODE]

4. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).

[CODE]
Обнаруженные параметры в реестре: 17
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|26509 (Trojan.Inject.RRE) -> Параметры: C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Screen Saver Pro 3.1 (Trojan.Agent.ED) -> Параметры: C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|x222n9 (Trojan.Agent.ED) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n6 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n5 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n4 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n3 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n1 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xshin1 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|x1h2n9 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n9 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n8 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n7 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|inetb123 (Trojan.Inject) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dqklonee (Trojan.Lethic) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87891\sxsh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe -> Действие не было предпринято.

Объекты реестра обнаружены: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Lethic) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe) Хорошо: () -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87891\sxsh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\Admin\AppData\Roaming\E437.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято.
C:\Users\Admin\AppData\Roaming\D5BD.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято.
C:\Users\Admin\AppData\Roaming\DCA3.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято.
C:\Users\Admin\AppData\Roaming\F757.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято.
C:\Users\Admin\AppData\Roaming\F90E.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято.
C:\ProgramData\Local Settings\Temp\ccanmo.exe (Trojan.Inject.RRE) -> Действие не было предпринято.
C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr (Trojan.Agent.ED) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe (Trojan.Agent.ED) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe (Trojan.Inject) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe (Trojan.Lethic) -> Действие не было предпринято.
C:\Users\Admin\AppData\Local\Temp\_install_\msiexec.exe (Trojan.Inject.RRE) -> Действие не было предпринято.
C:\Users\Admin\AppData\Roaming\temp.bin (Trojan.Agent.ED) -> Действие не было предпринято.
C:\Users\Admin\AppData\Roaming\F028.exe.gonewiththewings (Trojan.Agent.ED) -> Действие не было предпринято.
c:\users\admin\appdata\roaming\microsoft\ybtuts.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87891\sxsh10.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
C:\Users\Admin\AppData\Roaming\800.exe.gonewiththewings (Backdoor.Azbreg) -> Действие не было предпринято.
[/CODE]

5. Проверьте эти файлы на [url=http://www.virustotal.com/index.html]virustotal[/url]
кнопка [b]Выбрать файл[/b] (Choose File) - ищете нужный файл у вас в системе - [b]Открыть[/b] (Browse) - [b]Проверить[/b] (Scan it!). Нажать на кнопку [b]Повторить анализ[/b] (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

[CODE]
C:\TMP\TrustedInstaller.exe
C:\Program Files\WinRAR\original_files_and_patch\Keygen.exe
[/CODE]

6. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

7. Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

8. По окончанию лечения смените все пароли на веб ресурсы.
02.09.2013, 18:18
forever

Извините. Комп был не доступен на выходных.
Сделал все как вы написали

Каранти отправил
Файл сохранён как 130902_140909_quarantine_52249c058c842.zip

Логи привожу

P.S
Кстати virustotal.com не открывается (пробовал на 2-х браузерах).. Похоже ещё не все
02.09.2013, 18:42
thyrex

Выполните скрипт в AVZ
[code] begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Jbtutd.exe','');
DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Jbtutd.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jbtutd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ybtuts');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
04.09.2013, 23:50
forever

Спасибо. Сделал все как написали.
Логи привожу.
На virustotal.com так и не заходит

Карантина не было..

Жду дальнейших указаний =)
05.09.2013, 00:05
mike 1

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\Users\Admin\AppData\Roaming\E465.exe','');
BC_ImportQuarantineList;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы.

Сделайте логи RSIT ([url]http://virusinfo.info/showthread.php?t=115256[/url])
06.09.2013, 23:52
forever

Ещё раз прошу прощения. Постараюсь, быстрей делать ..
Кстати заметил что файл который лежит в C:\Users\Admin\AppData\Roaming\*.exe, при каком то условии меняет своё имя, сейчас уже E223.exe

Логи привожу

Результат загрузки

Файл сохранён как 130906_195217_virus_522a327115327.zip
Размер файла 604
MD5 bf6398926f4caa8ccce22718ec8969ed

Благодарю за помощь
07.09.2013, 00:02
mike 1

Проверьте эти файлы на [url=http://www.virustotal.com/index.html]virustotal[/url]
[CODE]
C:\Users\Admin\AppData\Roaming\E223.exe
[/CODE]
кнопка [b]Выбрать файл[/b] (Choose File) - ищете нужный файл у вас в системе - [b]Открыть[/b] (Browse) - [b]Проверить[/b] (Scan it!). Нажать на кнопку [b]Повторить анализ[/b] (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Что находится в этой [B]C:\Users\Admin\AppData\Roaming\csflex38102013[/B] папке?
07.09.2013, 11:28
forever

C:\Users\Admin\AppData\Roaming\E223.exeСегодня этого файла уже не было, даже похожего *.exe нет

[COLOR=#555555][FONT=Arial]Что находится в этой [/FONT][/COLOR][B]C:\Users\Admin\AppData\Roaming\csflex38102013 папке?

Это как я понял данный какой то проги.. (по работе), на сколько я понял, спрошу у знакомого, так как его ноут.
А там че-то страшное ?[/B]
07.09.2013, 11:36
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
07.09.2013, 23:13
forever

[QUOTE=thyrex;1036258]Сделайте лог [URL="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/URL][/QUOTE]
Решил переустановить Windows, так будет лучше...

Спасибо за помощь!
07.09.2013, 23:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]63[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\progra~2\\locals~1\\temp\\ccanmo.exe - [B]Trojan-Downloader.Win32.Andromeda.uhz[/B] ( DrWEB: BackDoor.Andromeda.178, BitDefender: Trojan.GenericKDV.949498, AVAST4: Win32:Kryptik-LLD [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-121921\\inetb123.exe - [B]Trojan-PSW.Win32.Tepfer.pkhp[/B] ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKDV.1182098, AVAST4: Win32:Kryptik-MRN [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-22892\\s222h10.exe - [B]Backdoor.Win32.Azbreg.vvu[/B] ( DrWEB: Trojan.Winlock.8811, BitDefender: Trojan.GenericKDV.1159134, AVAST4: Win32:Crypt-PTQ [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81140\\sxshin1.exe - [B]Trojan-PSW.Win32.Tepfer.orld[/B] ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81240\\sxshin1.exe - [B]Trojan-PSW.Win32.Tepfer.orld[/B] ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81340\\sxshin3.exe - [B]Trojan-PSW.Win32.Tepfer.orld[/B] ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81350\\sxshin4.exe - [B]Trojan-PSW.Win32.Tepfer.orld[/B] ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81650\\sxshin5.exe - [B]Trojan-PSW.Win32.Tepfer.orld[/B] ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-86650\\sxshin6.exe - [B]Trojan-PSW.Win32.Tepfer.orld[/B] ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87650\\sxshin7.exe - [B]Trojan-PSW.Win32.Tepfer.orld[/B] ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87850\\sxshin8.exe - [B]Trojan-PSW.Win32.Tepfer.orld[/B] ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87890\\sxshin9.exe - [B]Trojan-PSW.Win32.Tepfer.orld[/B] ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87892\\s1sh10.exe - [B]Trojan-PSW.Win32.Tepfer.orld[/B] ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-92171\\dqklonee.exe - [B]Trojan-PSW.Win32.Tepfer.qhql[/B] ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1214808, AVAST4: Win32:Dropper-NCF [Drp] )[*] c:\\users\\admin\\appdata\\roaming\\screensaverpro.scr - [B]Worm.Win32.Ngrbot.thu[/B] ( DrWEB: Trojan.Spambot.12316, BitDefender: Trojan.GenericKD.1219329, AVAST4: Win32:Crypt-PWO [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]