Здравствуйте! Появилась проблемка вот с этим вирусом "модифицированный Win32/Spy.Ranbyus.J троянская программа". Вот логи.
[ATTACH]452272[/ATTACH]
[ATTACH]452273[/ATTACH]
[ATTACH]452274[/ATTACH]
Здравствуйте! Появилась проблемка вот с этим вирусом "модифицированный Win32/Spy.Ranbyus.J троянская программа". Вот логи.
[ATTACH]452272[/ATTACH]
[ATTACH]452273[/ATTACH]
[ATTACH]452274[/ATTACH]
Уважаемый(ая) [B]РоманРо[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Пофиксите в HijackThis только указанные строки [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://saldeta.com/themes/ews.exc
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FCE1269-FE11-42C4-9AFB-44E54FA7D09B}: NameServer = 37.10.116.201,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2D748C5-C08F-4FD1-AC43-EF807077B14B}: NameServer = 37.10.116.201,8.8.8.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{4FCE1269-FE11-42C4-9AFB-44E54FA7D09B}: NameServer = 37.10.116.201,8.8.8.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{4FCE1269-FE11-42C4-9AFB-44E54FA7D09B}: NameServer = 37.10.116.201,8.8.8.8
[/CODE]
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\machineupper32.exe','');
QuarantineFile('c:\windows\system32\msphqghu.exe','');
QuarantineFile('c:\windows\system32\betwinservicexp.exe','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
DeleteFile('C:\WINDOWS\system32\machineupper32.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
Спасибо! Карантин отправил. Вот логи.
[ATTACH]452397[/ATTACH]
[ATTACH]452398[/ATTACH]
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msphqghu.exe');
StopService('Network Adapter Events');
QuarantineFile('c:\windows\system32\msphqghu.exe','');
DeleteFile('C:\WINDOWS\system32\msphqghu.exe','32');
DeleteService('Network Adapter Events');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\betwinservicexp.exe - [B]not-a-virus:RiskTool.Win32.Agent.aps[/B][*] c:\windows\system32\machineupper32.exe - [B]Trojan-Banker.Win32.Fibbit.pkp[/B] ( BitDefender: Gen:Variant.Strictor.47126, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\msphqghu.exe - [B]Backdoor.Win32.Redaptor.bvb[/B] ( BitDefender: Gen:Variant.Kazy.307181, AVAST4: Win32:Agent-ASLS [Trj] )[/LIST][/LIST]