Троян терроризирует!

Printable View

Показывать 40 сообщений этой темы на одной странице

17.04.2014, 15:11
docktorvrach

Вложений: 1

Троян терроризирует!

Пожалуйста,помогите! Около полугода Win32 Chydo терроризирует меня, недавно узнав о Вашей помощи, воспрял духом. Надеюсь на Вашу поддержку!
17.04.2014, 15:12
Info_bot

Уважаемый(ая) [B]docktorvrach[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
17.04.2014, 18:35
mike 1

Сделайте лог полного сканирования [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]
21.04.2014, 13:16
docktorvrach

Лог полного сканирования MBAM
21.04.2014, 16:59
mike 1

В MBAM удалите все [B]кроме[/B]:

[CODE]
Файлы:
PUP.Optional.Spigot.A, C:\Users\User\AppData\Roaming\Auslogics\Rescue\Boost Speed\140405132609645.rsc, , [187afc30cfac03335e54809f996845bb],
RiskWare.Tool.CK, C:\Users\User\Desktop\??????????\hurma\???????¤???·\?»??N??µN??°N?N?N??° ???¤??\to_nik\WinRAR_and_DosRAR_v3.42.zip, , [860cff2d1368b482410b51e68d7749b7],
[/CODE]

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
21.04.2014, 23:14
docktorvrach

Вложений: 1

Последний лог!
21.04.2014, 23:38
mike 1

Это осталось:

[CODE]
Папки: 2
PUP.Optional.BonanzaDeals.A, C:\Users\User\AppData\Local\BonanzaDealsLive, , [6b8c2b017ffce551db93fa66da288b75],
PUP.Optional.BonanzaDeals.A, C:\Users\User\AppData\Local\BonanzaDealsLive\CrashReports, , [6b8c2b017ffce551db93fa66da288b75],

Файлы: 3
Trojan.Chydo, C:\Users\User\AppData\Local\BonanzaDealsLive\CrashReports\trz76D4.tmp, , [41b6db51f58620166dac021723e119e7],
[/CODE]
22.04.2014, 10:45
docktorvrach

Опять удалить в МВАМ всё,кроме этих файлов?
22.04.2014, 11:55
mike 1

Да кроме файлов из 5 сообщения.
23.04.2014, 23:29
docktorvrach

Вложений: 1

Лог
24.04.2014, 13:44
mike 1

Это удаляли?

[CODE]
Папки: 2
PUP.Optional.BonanzaDeals.A, C:\Users\User\AppData\Local\BonanzaDealsLive, , [427f75b8fc7fc96d9237322ff909de22],
PUP.Optional.BonanzaDeals.A, C:\Users\User\AppData\Local\BonanzaDealsLive\CrashReports, , [427f75b8fc7fc96d9237322ff909de22],

Файлы: 2
Trojan.Chydo, C:\Users\User\AppData\Local\BonanzaDealsLive\CrashReports\trzE232.tmp, , [427f78b57605132386fb27f4bb49df21],
PUP.Optional.BonanzaDeals.A, C:\Users\User\AppData\Local\BonanzaDealsLive\CrashReports\trzE232.tmp, , [427f75b8fc7fc96d9237322ff909de22],
[/CODE]
01.05.2014, 10:14
docktorvrach

После последней проверки было обнаружено 5 файлов, 3 из них я восстановил, 2-удалил! По-моему, это были указанные Вами в графе "Папки"
02.05.2014, 01:13
mike 1

Что с проблемой?
04.05.2014, 13:38
docktorvrach

Уже после первой проверки МВАМ перестали обнаруживаться трояны и остальные вредители.
Это означает,что компьютер вылечен?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Сегодня антивирусом было обнаружено 2 файла с трояном! Что делать?
05.05.2014, 00:42
mike 1

[QUOTE]Сегодня антивирусом было обнаружено 2 файла с трояном! Что делать?[/QUOTE]
Скорее всего заражен другой компьютер. Через общие ресурсы возможно лезет вредонос.

[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
05.05.2014, 11:33
docktorvrach

Вложений: 1

Лог SecurityCheck
05.05.2014, 19:27
mike 1

[B]Обновите:[/B]

Java 7 Update 51 v.7.0.510 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Скачайте jre-8-windows-i586.exe^[/b][/color]
Adobe Shockwave Player 12.0 v.12.0.4.144 [color=red][b]Внимание! [url=http://get.adobe.com/shockwave/]Скачать обновления[/url][/b][/color]
Adobe Reader X (10.1.9) - Russian v.10.1.9 [color=red][b]Внимание! [url=http://get.adobe.com/reader/]Скачать обновления[/url][/b][/color]
Mozilla Firefox (3.6) v.3.6 (ru) [color=red][b]Внимание! [url=http://www.mozilla.org/ru/firefox/fx]Скачать обновления[/url][/b][/color]
06.05.2014, 13:02
docktorvrach

Всё обновил! Что теперь?
06.05.2014, 13:23
mike 1

[QUOTE=docktorvrach;1113858]Всё обновил! Что теперь?[/QUOTE]
Для второго компьютера создайте отдельную тему скорее всего через него лезет вирус на этот компьютер. На этом компьютере как я понял антивирус удаляет вредоносные файлы.
06.05.2014, 14:16
docktorvrach

Конкретно трояновские файлы не удаляет, а отправляет в карантин. И что значит второй компьютер-у меня он только один?!!
07.05.2014, 16:57
mike 1

Обновления на Windows все установлены?

Сделайте полное сканирование DrWeb Cureit. После окончания сканирования сохраните отчет, запакуйте и прикрепите его к сообщению.
12.05.2014, 17:11
docktorvrach

Да, все обновления установил! Вот отчет Dr Web
12.05.2014, 17:20
mike 1

Cureit ничего не нашел. Что с проблемой?
12.05.2014, 17:48
docktorvrach

C 4 мая до настоящего момента ни одного зараженного файла не обнаруживалось. Это означает,что компьютер вылечен?
12.05.2014, 18:18
mike 1

По последним отчетам вирусов не видно.
12.05.2014, 19:11
docktorvrach

Огромное спасибо Вам за помощь! В случае повтора проблемы-незамедлительно обращусь.
12.05.2014, 21:25
mike 1

Деинсталлируйте MBAM

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:

[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
26.05.2014, 10:57
docktorvrach

Выполнил скрипт и установил рекомендуемые обновления. Однако, за прошедшую неделю было обнаружено и отправлено в карантин антивирусом много троянов! в чем проблема?
26.05.2014, 12:32
mike 1

На этом компьютере есть общие ресурсы?
26.05.2014, 13:25
docktorvrach

Если Вы имеете ввиду нескольких пользователей-то нет; если что-то другое-прошу объяснить!
26.05.2014, 18:27
mike 1

Не я имел в виду общие папки, диски, которые доступны другому компьютеру.
26.05.2014, 19:29
docktorvrach

Ничего такого нет,все доступно только мне
27.05.2014, 01:32
mike 1

Вас не было 14 дней за это время могло многое поменяться.

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
27.05.2014, 20:31
docktorvrach

Вложений: 1

Новые логи!
28.05.2014, 11:13
mike 1

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
DeleteFile('C:\Windows\system32\Tasks\{B3F857F5-CE78-4B58-AFBE-BA0E39822C09}','32');
DeleteFile('C:\Windows\system32\Tasks\{BB96ECA5-9CE9-4F7C-A174-B728551F2D9D}','32');
DeleteFile('C:\Windows\system32\Tasks\{E9A61847-83A4-4AF4-AA0E-A9B70B976D7E}','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
29.05.2014, 00:48
docktorvrach

Лог MBAM
29.05.2014, 01:44
mike 1

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками все [B]кроме[/B] указанных ниже строк.

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

[CODE]
Обнаруженные файлы:
C:\Users\User\Downloads\Flash.Player__2299_i630131052_il13858875.exe (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
C:\Users\User\Downloads\Ap Tuner 3.08 + crack\APTunerInstall308.exe (Trojan.Agent.NS) -> Действие не было предпринято.
[/CODE]

[NOTICE]Новый лог сделайте при подключенных флешках если таковые имеются[/NOTICE].

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
31.05.2014, 02:17
docktorvrach

Предпоследний лог
31.05.2014, 15:04
mike 1

Свежий лог MBAM с подключенными флешками сделайте.
31.05.2014, 21:38
docktorvrach

вот он

Показывать 40 сообщений этой темы на одной странице