Здравствуйте. ВНЕЗАПНО, словил баннер. В автозапуске нашёл qhBibcwPmCuUuB.exe.
Здравствуйте. ВНЕЗАПНО, словил баннер. В автозапуске нашёл qhBibcwPmCuUuB.exe.
Уважаемый(ая) [B]9gurikov[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Здравствуйте!
Закройте все программы
Отключите
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
1. [B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\admin\AppData\Local\Temp\odqqh.exe','');
QuarantineFile('C:\Users\admin\AppData\Local\Temp\lbhea.exe','');
QuarantineFile('C:\Users\admin\AppData\Local\Temp\87.exe','');
DeleteFile('C:\Users\admin\AppData\Local\Temp\lbhea.exe','32');
DeleteFile('C:\Windows\Tasks\8ty9s.job','32');
DeleteFile('C:\Windows\Tasks\as0ciix.job','32');
DeleteFile('C:\Users\admin\AppData\Local\Temp\odqqh.exe','32');
DeleteFile('C:\Windows\system32\Tasks\8ty9s','32');
DeleteFile('C:\Windows\system32\Tasks\as0ciix','32');
DeleteFile('C:\Users\admin\appdata\local\temp\87.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Updater');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
2. Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
3. [B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - HKLM\..\Run: [Microsoft Updater] "C:\Users\admin\AppData\Local\Temp\87.exe"
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
[/CODE]
4. Сделайте повторные логи в [B]обычном режиме[/B] по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Спасибо, помогло!
1. Hosts файл сами меняли?
2. Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2012-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Да, вносил исключения в hosts
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Обнаруженные ключи в реестре: 3
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Pesennik 3.2.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NewProduct 1.00 (Backdoor.Agent.CoGen) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 뙤꽥龡ꔥ祡㸟ᮌ瞡窜矑妃�㳨╻໌업ᆫ郂仧䞞긒炷氇歂⫗吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘캸夰갗ӑ斋�鴸뇘䔮إ쀶䒎啙춡豧䅯吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘㵓쪸ᮏ憱C㕣諅ꬓ吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘聼�舮Ԥ -> Действие не было предпринято.
Объекты реестра обнаружены: 1
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Плохо: (C:\$Recycle.Bin\S-1-5-18\$19a7ba3bdeb646c627edf203711938b7\n.) Хорошо: (fastprox.dll) -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Program Files\Company\NewProduct (Backdoor.Agent.CoGen) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M8O4DWKT\87[1].html (Trojan.Dropper.SBM) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\Uninstall.ini (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\1.txt (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\all2.vbs (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\all3.vbs (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\allr.bat (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\bat.bat (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\otstuk_id.txt (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\Uninstall.exe (Backdoor.Agent.CoGen) -> Действие не было предпринято.
[/CODE]
Проверьте эти файлы на [url=http://www.virustotal.com/index.html]virustotal[/url]
[CODE]
D:\INSTALL\MULTIMEDIA\Alcohol 120% v2.0.0. 2031\Лекарство\AutoLoader_AxLaUn.exe
D:\загрузки\winamp5622_full_emusic-7plus_ru-ru.exe
D:\загрузки\DTLite4451-0236.exe
D:\ProgramData\SoftonicDownloader_for_pdf-xchange-viewer.exe
[/CODE]
кнопка [b]Выбрать файл[/b] (Choose File) - ищете нужный файл у вас в системе - [b]Открыть[/b] (Browse) - [b]Проверить[/b] (Scan it!). Нажать на кнопку [b]Повторить анализ[/b] (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
[LIST=1][*]Скачайте архив [url=http://support.kaspersky.ru/downloads/utils/tdsskiller.zip]TDSSKiller.zip[/url] и распакуйте его в отдельную папку;[*]Запустите файл [B][I]TDSSKiller.exe[/I][/B].[*]Нажмите кнопку "[b]Начать проверку[/b]". Не меняйте настройки сканирования по умолчанию.[*]В процессе проверки могут быть обнаружены объекты двух типов:[list][*]вредоносные (точно было установлено, какой вредоносной программой поражен объект);[*]подозрительные (тип вредоносного воздействия точно установить невозможно).[/list][*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: [b]Лечить[/b] или [b]Удалить[/b].[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию [b]Пропустить[/b]).[*][B][COLOR="Red"]Самостоятельно без указания консультанта ничего не удаляйте!!![/COLOR][/B][*]После нажатия кнопки [b]Продолжить[/b] утилита выполняет выбранные действия и выводит результат.[*]Прикрепите лог утилиты к своему следующему сообщению[/list]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: [i]ИмяУтилиты.Версия_Дата_Время_log.txt[/i]
Например, [i]C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt[/i]
[url]https://www.virustotal.com/ru/file/e39bc9e49b19d2d4b7a1795575b5a9b3f9fa88f7d00aa6f2595f2f2ef892afa0/analysis/1384877344/[/url]
[url]https://www.virustotal.com/ru/file/60db4c442b2cab116851961dc8014547d71031c35818d646710fa3ab6b98eb71/analysis/1384877551/[/url]
[url]https://www.virustotal.com/ru/file/5f6e43609a99024ba49d8da0239b7cb6859ce34d5e46dfbe23298993c2ed5485/analysis/1384878049/[/url]
[url]https://www.virustotal.com/ru/file/691f45ea7ce44c3003dc9ee194929c8634931ede966a8d9365141f53dbd8dcc8/analysis/1384878520/[/url]
Достаточно ли таких результатов для удаления файлов?
Недостаточно так как вы удалили не все, то что я просил вас удалить.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Обнаруженные ключи в реестре: 3
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Pesennik 3.2.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NewProduct 1.00 (Backdoor.Agent.CoGen) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 뙤꽥龡ꔥ祡㸟ᮌ瞡窜矑妃�㳨╻໌업ᆫ郂仧䞞긒炷氇歂⫗吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘캸夰갗ӑ斋�鴸뇘䔮إ쀶䒎啙춡豧䅯吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘㵓쪸ᮏ憱C㕣諅ꬓ吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘聼�舮Ԥ -> Действие не было предпринято.
Объекты реестра обнаружены: 1
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Плохо: (C:\$Recycle.Bin\S-1-5-18\$19a7ba3bdeb646c627edf203711938b7\n.) Хорошо: (fastprox.dll) -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Program Files\Company\NewProduct (Backdoor.Agent.CoGen) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M8O4DWKT\87[1].html (Trojan.Dropper.SBM) -> Действие не было предпринято.
D:\ProgramData\SoftonicDownloader_for_pdf-xchange-viewer.exe (PUP.Optional.Softonic.A) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\Uninstall.ini (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\1.txt (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\all2.vbs (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\all3.vbs (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\allr.bat (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\bat.bat (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\otstuk_id.txt (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\Uninstall.exe (Backdoor.Agent.CoGen) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Сделайте лог GMER
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\admin\\appdata\\local\\temp\\lbhea.exe - [B]Trojan-Ransom.Win32.Blocker.cuzr[/B] ( BitDefender: Gen:Variant.Kazy.113826 )[*] c:\\users\\admin\\appdata\\local\\temp\\87.exe - [B]Trojan-Ransom.Win32.Blocker.cvcw[/B] ( BitDefender: Trojan.GenericKDV.1408217, AVAST4: Win32:Malware-gen )[/LIST][/LIST]