Опять поймал вирус?!! [not-a-virus:PSWTool.Win32.ProductKey.aj ]

Printable View

16.10.2013, 14:46
Екнекнен

Опять поймал вирус?!! [not-a-virus:PSWTool.Win32.ProductKey.aj ]

Здравствуйте, уважаемые хелперы.
Опять поймал вирус: рабочего стола нет, explorer exe приходится вручную запускать, и то ничего почти не отображается. Еле-еле кое-как запустил полиморфный АВЗ и Хайджек. Логи прилагаю. Помогите, пожалуйста.
16.10.2013, 14:47
Info_bot

Уважаемый(ая) [B]Екнекнен[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.10.2013, 15:03
mike 1

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\TARASOV\Local Settings\Temporary Internet Files\Content.IE5\AK5KVD2M\users_user9_files_load4[1].exe','');
QuarantineFile('C:\Documents and Settings\TARASOV\Application Data\Microsoft\Internet Explorer\Quick Launch\Альтернативные Федерации и другие силовые виды спорта.url','');
QuarantineFile('C:\Documents and Settings\TARASOV\Application Data\Microsoft\Internet Explorer\Quick Launch\.url','');
DeleteFile('C:\Documents and Settings\TARASOV\Local Settings\Temporary Internet Files\Content.IE5\AK5KVD2M\users_user9_files_load4[1].exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
F2 - REG:system.ini: Shell=C:\Documents and Settings\TARASOV\Local Settings\Temporary Internet Files\Content.IE5\AK5KVD2M\users_user9_files_load4[1].exe
F2 - REG:system.ini: UserInit=C:\Documents and Settings\TARASOV\Local Settings\Temporary Internet Files\Content.IE5\AK5KVD2M\users_user9_files_load4[1].exe
O4 - HKCU\..\Run: [explorer] C:\Documents and Settings\TARASOV\Local Settings\Temporary Internet Files\Content.IE5\AK5KVD2M\users_user9_files_load4[1].exe
[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Сделайте лог полного сканирования MBAM ([URL]http://virusinfo.info/showthread.php?t=53070[/URL])
16.10.2013, 18:36
Екнекнен

Выкладываю логи. Пофиксить было нечего. MBAM еле запустил, базы обновить не смог.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Ну так что с логами?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Результат загрузки
Файл сохранён как 131016_143548_quarantine_525ea4447857b.zip
Размер файла 123624
MD5 e127b5f04ad41c49722380b5700b77fe

Файл закачан, спасибо!
16.10.2013, 19:36
mike 1

В MBAM удалите:

[CODE]
Registry Values Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Data: 1 -> No action taken.
[/CODE]

Проверьте эти файлы на [url=http://www.virustotal.com/index.html]virustotal[/url]
[CODE]
C:\WINDOWS\system32\MRS.exe
[/CODE]
кнопка [b]Выбрать файл[/b] (Choose File) - ищете нужный файл у вас в системе - [b]Открыть[/b] (Browse) - [b]Проверить[/b] (Scan it!). Нажать на кнопку [b]Повторить анализ[/b] (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Сделайте пожалуйста логи AVZ обычной версией AVZ, а не полиморфной. Не забудьте обновить базы AVZ.

+ Сделайте еще такой лог [url]http://virusinfo.info/showthread.php?t=121767[/url]
17.10.2013, 12:23
Екнекнен

Здравствуйте.
В MBAM я случайно удалил всё найденное. Теперь при запуске системы выскакивает ошибка: "Файл C:\ Documents не найден. Но после нажатия ОК система грузится. Система тормозит, тем не менее. Файла, который вы проили проверить на Virustotal.com я не нашёл. Логи прилагаю. Авз использовал нормальный (НЕ полиморфный).
Помогите, поажлуйста.
17.10.2013, 14:22
mike 1

1. Восстановите в MBAM ([url]http://virusinfo.info/showthread.php?t=53070):[/url]

[CODE]
C:\WINDOWS\system32\CPLDAPU\ProduKey.exe
[/CODE]

Новый лог MBAM прикрепите.

2. Этот [B]ProxyServer = 192.168.1.33:3128[/B] прокси сами прописывали?
17.10.2013, 17:32
Екнекнен

Файл восстанвоил. Да, прокси мой.
Лог МВАМ прилагаю.
17.10.2013, 19:03
mike 1

[LIST][*]Если у вас [B][URL="http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions"]32 разрядная версия windows[/URL][/B], то скачайте [url=http://safezone.cc/random/RSIT.exe][B]Random's System Information Tool (RSIT)[/B][/url] или с [url="http://images.malwareremoval.com/random/RSIT.exe"]зеркала[/url] [*]Если у вас [B][URL="http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions"]64 разрядная версия windows[/URL][/B], то необходимо скачать эту версию [URL="http://safezone.cc/random/RSITx64.exe"][B]Random's System Information Tool(RSIT)x64[/B][/URL] или с [URL="http://images.malwareremoval.com/random/RSITx64.exe"]зеркала[/URL][/LIST]
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
18.10.2013, 15:58
Екнекнен

Выкладываю логи. Чтоскажет ГУРУ?
18.10.2013, 16:19
mike 1

По логам плохого не видно.
18.10.2013, 16:58
Екнекнен

Большое спасибо. А то, что я в МВАМ всё удалил случайно - не страшно? Ведь восстановили мы один файл. И что у меня был за вирус?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

И надо ли менять пароли?
18.10.2013, 18:01
mike 1

То что вы восстановили это кряк был. У вас был новый зловред [B]Trojan-Ransom.Win32.Gimemo.bkvb[/B]. Пароли желательно сменить. MBAM удалите через установка и удаление программ.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
18.10.2013, 18:17
Екнекнен

Огромнейшее Вам спасибо. Огромный жирный плюс проекту!
18.10.2013, 18:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\tarasov\\local settings\\temporary internet files\\content.ie5\\ak5kvd2m\\users_user9_files_load4[1].exe - [B]Trojan-Ransom.Win32.Gimemo.bkvb[/B] ( BitDefender: Gen:Variant.Zusy.67971, AVAST4: Win32:Injector-BME [Trj] )[*] c:\\windows\\system32\\cpldapu\\produkey.exe - [B]not-a-virus:PSWTool.Win32.ProductKey.aj[/B] ( DrWEB: Tool.PassSteel.645 )[/LIST][/LIST]