Добрый день! Нод постоянно ловит этого трояна, но удаляет только из оперативной памяти - в автозагрузке так и сидит. Помогите, пожалуйста!
[ATTACH]437477[/ATTACH]
[ATTACH]437476[/ATTACH]
[ATTACH]437478[/ATTACH]
Printable View
Добрый день! Нод постоянно ловит этого трояна, но удаляет только из оперативной памяти - в автозагрузке так и сидит. Помогите, пожалуйста!
[ATTACH]437477[/ATTACH]
[ATTACH]437476[/ATTACH]
[ATTACH]437478[/ATTACH]
Уважаемый(ая) [B]WanZip[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\All Users\Application Data\qugeqob.exe','');
QuarantineFile('X:\i386\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\tscupgrd.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\zytudib.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\xefibyd.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\tyfoloj.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\tujuci.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\tocurew.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\ryxozos.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\qugeqob.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\nuxegym.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\nibovin.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\mivej.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\kyfibi.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\hydobi.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\hohuwik.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\gotymu.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\fymym.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\fenec.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\cybyfu.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\coxidok.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\bureq.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\bupuxo.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\borydi.exe','');
QuarantineFile('C:\WINDOWS\sys.exe','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\borydi.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\bupuxo.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\bureq.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\coxidok.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\cybyfu.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\fenec.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\fymym.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\gotymu.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\hohuwik.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\hydobi.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\kyfibi.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\mivej.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\nibovin.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\nuxegym.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\qugeqob.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\ryxozos.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\tocurew.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\tujuci.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\tyfoloj.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\xefibyd.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\zytudib.exe','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\qugeqob.exe','32');
DeleteFile('C:\WINDOWS\Tasks\nVidiaAgent.job','32');
DeleteFile('C:\WINDOWS\sys.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lass');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
F2 - REG:system.ini: UserInit=X:\i386\system32\userinit.exe,C:\WINDOWS\system32\userinit.exe,C:\DOCUM E~1\ALLUSE~1\APPLIC~1\qugeqob.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\gotymu.exe,`,C:\ DOCUME~1\ALLUSE~1\APPLIC~1\xefibyd.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\kyfibi.exe, C:\DOCUME~1\ALLUSE~1\APPLIC~1\fymym.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\hydobi.exe ,C:\DOCUME~1\ALLUSE~1\APPLIC~1\coxidok.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\nuxegym .exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\nibovin.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\ryx ozos.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\hohuwik.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1 \tocurew.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\borydi.exe,C:\DOCUME~1\ALLUSE~1\APPLI C~1\mivej.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\tyfoloj.exe,C:\DOCUME~1\ALLUSE~1\APP LIC~1\cybyfu.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\fenec.exe,C:\DOCUME~1\ALLUSE~1\AP PLIC~1\tujuci.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\bupuxo.exe,C:\DOCUME~1\ALLUSE~1\ APPLIC~1\bureq.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\zytudib.exe,
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [lass] C:\WINDOWS\sys.exe
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Сделайте лог полного сканирования MBAM ([URL]http://virusinfo.info/showthread.php?t=53070[/URL])
Спасибо за помощь! Теперь всё отлично.
Пофиксите в HijackThis: [url]http://virusinfo.info/showthread.php?t=4491[/url]
[CODE]F2 - REG:system.ini: UserInit=X:\i386\system32\userinit.exe,C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\qugeqob.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\gotymu.exe,`,C:\DOCUME~1\ALLUSE~1\APPLIC~1\xefibyd.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\kyfibi.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\fymym.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\hydobi.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\coxidok.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\nuxegym.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\nibovin.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\ryxozos.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\hohuwik.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\tocurew.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\borydi.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\mivej.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\tyfoloj.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\cybyfu.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\fenec.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\tujuci.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\bupuxo.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\bureq.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\zytudib.exe,
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [lass] C:\WINDOWS\sys.exe[/CODE]
Удалите в MBAM, только указанные строки:
[CODE]Обнаруженные ключи в реестре: 7
HKCR\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\tdataprotocol.CTData.1 (PUP.Blabbers) -> Действие не было предпринято.
HKCR\tdataprotocol.CTData (PUP.Blabbers) -> Действие не было предпринято.
HKCR\PROTOCOLS\HANDLER\BASE64 (PUP.Blabbers) -> Действие не было предпринято.
HKCR\PROTOCOLS\HANDLER\CHROME (PUP.Blabbers) -> Действие не было предпринято.
HKCR\PROTOCOLS\HANDLER\PROX (PUP.Blabbers) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 3
HKCR\protocols\Handler\base64|CLSID (PUP.Blabbers) -> Параметры: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Действие не было предпринято.
HKCR\protocols\Handler\chrome|CLSID (PUP.Blabbers) -> Параметры: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Действие не было предпринято.
HKCR\protocols\Handler\prox|CLSID (PUP.Blabbers) -> Параметры: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Действие не было предпринято.
Обнаруженные файлы: 3
C:\Program Files\Common Files\Metabar\tdataprotocol.dll (PUP.Blabbers) -> Действие не было предпринято.[/CODE]
Повторите лог MBAM и HijackThis.
+ Не видно вашего карантина. Вы его отправляли?