Нужна помощь!!!! [Trojan.Win32.Jorik.Buterat.vql ]

[anton161]

1. Отсутствует безопасный режим ошибка 0х0000000Е
2. Исчезли точки восстановления системы, кроме последней уже с измененным состоянием пк.
3. браузер закидывает регулярно на всякие сайты типа анекдотов, рекламы, кредиты и т.п.
Антивирус Microsoft Scurity Essentials "поубивал" много
Троян вин 32 Wundo.Gen.!AW
Obfuscator.ACP
Кучу Java эксплоитов
Троян вин32 Agent.gen.!F
Но я так понимаю этот антивирус не может убить их. Даже удаляя или помещая в карантин они потом вылазиют снова.

[Info_bot]

Уважаемый(ая) anton161, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\services.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\yvrlniqz.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\txctqbmd.sys','');
 DeleteService('yvrlniqz');
 DeleteService('txctqbmd');
 QuarantineFile('C:\WINDOWS\system32\drivers\ptyomjza.sys','');
 DeleteService('ptyomjza');
 QuarantineFile('C:\WINDOWS\system32\drivers\nnsqtotc.sys','');
 DeleteService('nnsqtotc');
 QuarantineFile('C:\WINDOWS\system32\drivers\iouuclij.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\jlwnuign.sys','');
 DeleteService('jlwnuign');
 DeleteService('iouuclij');
 QuarantineFile('C:\WINDOWS\system32\drivers\fvlhmvvf.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\eumauyzu.sys','');
 DeleteService('fvlhmvvf');
 DeleteService('eumauyzu');
 QuarantineFile('C:\WINDOWS\system32\drivers\ecbyzuyq.sys','');
 DeleteService('ecbyzuyq');
 QuarantineFile('C:\WINDOWS\system32\drivers\cjaxttks.sys','');
 DeleteService('cjaxttks');
 DeleteFile('C:\WINDOWS\system32\drivers\cjaxttks.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ecbyzuyq.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\eumauyzu.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\jlwnuign.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\iouuclij.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nnsqtotc.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ptyomjza.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\txctqbmd.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\yvrlniqz.sys');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\services.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

O1 - Hosts: 217.73.58.60 userapi.com
O1 - Hosts: 217.73.58.60 st0.userapi.com
O1 - Hosts: 217.73.58.60 st1.userapi.com
O1 - Hosts: 217.73.58.60 st2.userapi.com
O1 - Hosts: 217.73.58.60 st3.userapi.com
O1 - Hosts: 217.73.58.60 st4.userapi.com
O1 - Hosts: 217.73.58.60 st5.userapi.com
O1 - Hosts: 217.73.58.60 st6.userapi.com
O1 - Hosts: 217.73.58.60 st7.userapi.com
O1 - Hosts: 217.73.58.60 st8.userapi.com
O1 - Hosts: 217.73.58.60 st9.userapi.com
O1 - Hosts: 217.73.58.60 stg.odnoklassniki.ru
O1 - Hosts: 217.73.58.60 cdn.connect.mail.ru
O1 - Hosts: 217.73.58.60 img0.imgsmail.ru
O1 - Hosts: 217.73.58.60 img1.imgsmail.ru
O1 - Hosts: 217.73.58.60 img2.imgsmail.ru
O1 - Hosts: 217.73.58.60 img3.imgsmail.ru
O1 - Hosts: 217.73.58.60 img4.imgsmail.ru
O1 - Hosts: 217.73.58.60 img5.imgsmail.ru
O1 - Hosts: 217.73.58.60 img6.imgsmail.ru
O1 - Hosts: 217.73.58.60 img7.imgsmail.ru
O1 - Hosts: 217.73.58.60 img8.imgsmail.ru
O1 - Hosts: 217.73.58.60 img9.imgsmail.ru

Сделайте новые логи

[anton161]

Благодарю! Карантин отправил, хостс почистил вручную сразу после скана, хайджек не понадобился для этого пока. Сейчас сделаю повторный анализ системы.

- - - Добавлено - - -

Ув. модератор, есть вопрос - можно ли частично защититься от этих бед делая например ежедневные бэкапы реестра? Напишу например батник, который по расписанию будет сливать копию реестра на внешний диск... Имеет ли смысл заморачиваться на этот вопрос? Понимаю что слепок реестра не решает проблемы полностью, но временно восстановить полноценную жизнедеятельность системы до следующей перезагрузки наверное сможет?

- - - Добавлено - - -


Блин, все на смарку, зато вычислил место где бродит данная дрянь.
Flloomby.ru там эта зараза и обитает, ресурс обмена скриншотами
Добавил новые файлы сканов. Теперь браузер выдает подставные страницы сразу и безобразным образом бросает куда попало.
Так же безпрепятственно залезли на комп с вышеуказанного ресурса Vundo b Vundo.gen.!AW
Теперь я убедился в абсолютной бесполезности антивиря MSE.
Что посоветуете вместо него?

- - - Добавлено - - -


Блин, все на смарку, зато вычислил место где бродит данная дрянь.
Flloomby.ru там эта зараза и обитает, ресурс обмена скриншотами
Добавил новые файлы сканов. Теперь браузер выдает подставные страницы сразу и безобразным образом бросает куда попало.
Так же безпрепятственно залезли на комп с вышеуказанного ресурса Vundo b Vundo.gen.!AW
Теперь я убедился в абсолютной бесполезности антивиря MSE.
Что посоветуете вместо него?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Floomby\floomby.exe','');
 QuarantineFile('C:\WINDOWS\system32\vimtnsa.dll','');
 DeleteFile('C:\WINDOWS\system32\vimtnsa.dll');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Floomby\floomby.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Floomby');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp2.ru

Сделайте новые логи

[anton161]

Вот еще логи, плюс был убит антивирусом троян в папке Application Data c расширением "exe" C:\Documents and Settings\Администратор\Application Data\txt.exe
Подозреваю наличие его еще тут C:\System Volume Information\_restore{96B64463-74EC-4EAD-97CD-91AEFC30D879}\RP475\A0061623.dll

[thyrex]

Что с проблемой?

[anton161]

Пардонте за отсутсвие Проблема решена, кое что подлатал еще руками в реестре - почитал форумы....
За помощь благодарю! Какой наиболее удобный и практичный антивирус по вашему мнению? Хочу сменить свой.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\администратор\\application data\\services.exe - Trojan.Win32.Jorik.Buterat.vql