Авира определила наличие ТРОЯНА TR/Graftor.80945.6.и TR|Bit Coin Miner. Gen 7

**Геннадий_72** · 23.08.2013, 14:01

извините за беспокойство, но не можете ли Вы расписывать шаги и действия которые мне необходимо предпринимать как для "чайников", это ускорит моё понимание и решение проблемы. Спасибо за понимание, у меня ещё комп сам выключается, периодически...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**mike 1** · 23.08.2013, 14:20

Сообщение от mrak74

Удалите в MBAM, только указанные параметры:

Код:

HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
C:\Program Files\Ticno\Tabs\TicnoTabsBho111217.dll (Trojan.BHO) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.

Сделайте повторный лог MBAM.

Выполните скрипт в AVZ:

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 ExecuteWizard('SCU',2,2,true);
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

1. Как выполнить скрипт в AVZ?

2. Как удалять с помощью MBAM указанные в теме элементы?

3. Как подготовить новые отчеты AVZ и HiJackThis?

4. Содержание раздела ЧАВО

**Геннадий_72** · 23.08.2013, 15:39

извините за беспокойство, комп сам по себе выключается, и скорость маленькая, не могли бы Вы мне объяснять мои шаги и действия поподробнее, для "чайника". Чтоб ускорить процесс..Заново отсканировал, лог есть, теперь сканировать в AVZ ??

- - - Добавлено - - -

спасибо !! сообщ. пришло с задержкой...Извините !!!

**mike 1** · 23.08.2013, 16:05

Ждем запрошенные логи.

**Геннадий_72** · 24.08.2013, 14:39

Извиняюсь за задержку, комп вообще зависает и требует перезагрузки. После всех действий окно в Авире всё равно всплывает. И в папке темп продолжает появляться.

**mike 1** · 24.08.2013, 15:14

1.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
Прикрепите отчет к своему следующему сообщению.

2. Выполните скрипт AVZ из 18 сообщения.

**Геннадий_72** · 24.08.2013, 16:31

скрипт AVZ из 18 сообщения, при вставления кода и сканировании, выводится отчёт, что сконирование произведенно без ошибок и сразу комп перезагружается сам.. как отправить отчёт ??

**mike 1** · 24.08.2013, 16:46

Хорошо. Тогда поступим так:

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

2. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**Геннадий_72** · 24.08.2013, 17:24

Так или нет ??

- - - Добавлено - - -

или эти ??

**mike 1** · 24.08.2013, 17:45

Немного не те вложения прикрепили. Поищите отчет C:\AdwCleaner[S0].txt. + Не хватает новых логов AVZ и HiJackThis.

**Геннадий_72** · 24.08.2013, 18:28

извините запутался...

**Геннадий_72** · 25.08.2013, 08:07

Добрый день !!! Я вложил файлы, правильно ?? Или надо что-то делать ??

**thyrex** · 25.08.2013, 10:09

Что с проблемой?

**Геннадий_72** · 25.08.2013, 17:52

сегодня после запуска появилось предупреждение опять, после удаления в Авире и в ручную в папке темп, пока не появлялось, но осталась скрытая папка с ехе. файлом, но её не видно, чтоб удалить вручную...

- - - Добавлено - - -

троян тоже находится в скрытой папке..

- - - Добавлено - - -

при проверке Авирой опять выявляет наличие трояна.

**mike 1** · 25.08.2013, 19:47

1. Сделайте логи RSIT

Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

2. Сделайте лог MiniToolBox (http://virusinfo.info/showthread.php?t=122524)