Trojan.Win32.Nymaim.wpr - Пополнение базы чистых файлов AVZ

**evgenij193** · 12.01.2017, 21:25

Здравствуйте!
Пару дней назад только вылечили от вирусов ссылка на этот запрос http://virusinfo.info/showthread.php?t=207750
Сегодня отправил в "пополнение базы чистых файлов AVZ" архив :

Результаты обработки

Архив 170112_200342_virusinfo_files_WZTMWZT-F4SLR31_5877b6ee40909.zip, загружен 12.01.2017 20:10:06, размер 131423398 байт
Всего файлов: 36 (исполняемых 35), из них:
зловреды или опасные объекты: 1
подозрительные: 1
занесены в базу безопасных AVZ : 9
В очереди на добавление в базу безопасных:
высокий приоритет: 18
обычный приоритет: 7
Внимание, в архиве обнаружены опасные или вредоносные объекты:
C:\Users\z\AppData\Roaming\opamp-70\opamp-9.exe: Trojan.Win32.Nymaim.wpr
Для детального обследования и лечения рекомендуется обратиться в раздел Помогите

Помогите пожалуйста, что тут еще могло остаться..

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.01.2017, 21:29

Уважаемый(ая) evgenij193, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 17.01.2017, 00:09

Здравствуйте,

Удалите Iobit через установку программ в панели управления.

HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

Код:

O4 - HKCU\..\Run: [megabaud-7] C:\ProgramData\megabaud-79\megabaud-80.exe -9
O4 - HKCU\..\RunOnce: [gravity-12] C:\Users\z\AppData\Roaming\gravity-77\gravity-7.exe -9
O4 - User Startup: opamp-9.lnk    ->    C:\Users\z\AppData\Roaming\opamp-70\opamp-9.exe

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\z\appdata\roaming\maxton-99\maxton-44.exe');
 QuarantineFile('C:\ProgramData\megabaud-79\megabaud-80.exe','');
 QuarantineFile('C:\ProgramData\wcdma-57\wcdma-3.exe','');
 QuarantineFile('C:\Users\z\AppData\Roaming\gravity-77\gravity-7.exe','');
 QuarantineFile('c:\users\z\appdata\roaming\maxton-99\maxton-44.exe','');
 QuarantineFile('C:\Users\z\AppData\Roaming\opamp-70\opamp-9.exe','');
 QuarantineFileF('c:\users\z\appdata\roaming\maxton-99', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('C:\ProgramData\megabaud-79', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('C:\ProgramData\wcdma-57', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('C:\Users\z\AppData\Roaming\gravity-77', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('c:\users\z\appdata\roaming\maxton-99', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('C:\Users\z\AppData\Roaming\opamp-70', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 DeleteFile('C:\ProgramData\megabaud-79\megabaud-80.exe','32');
 DeleteFile('C:\ProgramData\wcdma-57\wcdma-3.exe','32');
 DeleteFile('C:\Users\z\AppData\Roaming\gravity-77\gravity-7.exe','32');
 DeleteFile('c:\users\z\appdata\roaming\maxton-99\maxton-44.exe','32');
 DeleteFile('C:\Users\z\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\opamp-9.lnk','32');
 DeleteFile('C:\Users\z\AppData\Roaming\opamp-70\opamp-9.exe','32');
 DeleteFileMask('C:\Users\z\AppData\Roaming\opamp-70', '*', true, ' ');
 DeleteDirectory('C:\Users\z\AppData\Roaming\opamp-70');
 DeleteFileMask('c:\users\z\appdata\roaming\maxton-99', '*', true, ' ');
 DeleteDirectory('c:\users\z\appdata\roaming\maxton-99');
 DeleteFileMask('C:\Users\z\AppData\Roaming\gravity-77', '*', true, ' ');
 DeleteDirectory('C:\Users\z\AppData\Roaming\gravity-77');
 DeleteFileMask('C:\ProgramData\wcdma-57', '*', true, ' ');
 DeleteDirectory('C:\ProgramData\wcdma-57');
 DeleteFileMask('C:\ProgramData\megabaud-79', '*', true, ' ');
 DeleteDirectory('C:\ProgramData\megabaud-79');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','megabaud-7');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','gravity-12');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**evgenij193** · 17.01.2017, 12:42

Здравствуйте!
1. Удалите Iobit через установку программ в панели управления. - через установку программ Iobit не было видно, помню точно я ее удалял, папка программы осталась в Program Files (x86), удалил в ручную.

2. HiJackThis профиксить удалось строки того кода что Вы написали отсутствовали.

3. AVZ выполнить следующий скрипт. - тоже не удалось, появилась ошибка
111.png

4. После перезагрузки:
- Выполните в AVZ: - выполнил
"Прислать запрошенный карантин" - загрузить архив не удалось, появляется надпись - такой архив был загружен ранее.

5.Подготовьте лог AdwCleaner и приложите его в теме. - приложил.

SQ · 17.01.2017, 13:13

Сообщение от evgenij193

Здравствуйте!

3. AVZ выполнить следующий скрипт. - тоже не удалось, появилась ошибка

Пожалуйста, попробуйте еще раз.

и приложите новый лог по правилам.

**evgenij193** · 17.01.2017, 16:53

Во время выполнения AVZ появилась ошибка
22.png
Скрипт выполнился, quarantine.zip не могу загрузить в "Прислать запрошенный карантин" пишет что был ранее загружен
2.jpg

SQ · 17.01.2017, 21:15

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**evgenij193** · 18.01.2017, 19:35

Здравствуйте, выполнил.

SQ · 18.01.2017, 19:53

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-701262040-2731465640-1033310415-1001\...\Winlogon: [Shell] C:\Windows\explorer.exe [4532304 2015-09-19] (Microsoft Corporation) <==== ATTENTION
FF Keyword.URL: Mozilla\Firefox\Profiles\blkvaggi.default -> hxxp://go.mail.ru/search?fr=ntg&q=
FF Extension: (friGate - разблокировка сайтов) - C:\Users\z\AppData\Roaming\Mozilla\Firefox\Profiles\blkvaggi.default\Extensions\[email protected] [2016-09-08]
CHR DefaultSearchURL: Default -> hxxps://yandex.ru/search/?from=chromesearch&clid=2242348&text={searchTerms}
CHR DefaultSearchKeyword: Default -> yandex.ru
CHR DefaultSuggestURL: Default -> hxxps://suggest.yandex.net/suggest-ff.cgi?uil=ru&part={searchTerms}
2017-01-12 21:23 - 2017-01-12 21:24 - 00000000 ____D C:\Users\z\AppData\Roaming\jedec-8
2017-01-12 20:59 - 2017-01-12 20:59 - 00000000 ____D C:\Users\Все пользователи\tdmoip-2
2017-01-12 20:59 - 2017-01-12 20:59 - 00000000 ____D C:\ProgramData\tdmoip-2
Folder: C:\ProgramData\SymEFASI
Folder: C:\Users\Все пользователи\rmbwizard
Folder: C:\Users\z\AppData\Roaming\EurekaLog
2016-11-27 15:37 - 2016-11-27 15:37 - 0000208 _____ () C:\Users\z\AppData\Roaming\df0cbc26de5c23bc4d42fd7abb4962ee
2016-09-23 18:29 - 2016-09-23 18:29 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
Task: {1AABDE7A-12EC-40D6-B07E-4C9A05F7904B} - System32\Tasks\Driver Booster SkipUAC (z) => D:\Загрузки\IObit Driver Booster 4 PRO v4.1.0.390 Final Ml_Rus\IObit Driver Booster 4 PRO v4.1.0.390 Aka Portable\DriverBooster.exe
Task: {C342A14E-2C98-44B5-8B0C-C615D51FA020} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**evgenij193** · 18.01.2017, 22:11

выполнил

SQ · 19.01.2017, 13:59

Сообщите, что с проблемой?

**evgenij193** · 19.01.2017, 20:17

Спасибо! На этот раз все чисто

Результаты обработки
Архив 170119_193742_virusinfo_files_WZTMWZT-F4SLR31_5880eb568a18c.zip, загружен 19.01.2017 20:00:05, размер 94248264 байт
Всего файлов: 26 (исполняемых 25), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ : 5
В очереди на добавление в базу безопасных:
высокий приоритет: 16
обычный приоритет: 5

SQ · 20.01.2017, 00:07

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Удачи Вам!

Trojan.Win32.Nymaim.wpr - Пополнение базы чистых файлов AVZ (заявка № 208026)

Опции темы