Подозрение на вирус [Backdoor.Win32.Buterat.dhne, ]

[Codimca]

Привет Вам, великие помощники. У меня на компьютере завёлся троян, как я понял, он ворует пароли. Пытался лечить систему различными методами, всё тщетно. В итоге поисков вышел на ваш сайт. Зарегистрировался и вот прошу о помощи. Высылаю логи:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

[Info_bot]

Уважаемый(ая) Codimca, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\taskhost.exe','');
  DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\taskhost.exe');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ.

Установите Service Pack 1 для Windows 7

[Codimca]

Повторные логи:
virusinfo_syscheck.zip;
hijackthis.log.
Лог полного сканирования MBAM:
mbam-log-2012-10-16 (06-10-01).txt.
Спасибо вам огромное за такой обширный опыт на тему вирусов... Просто невероятно как у вас тут всё налажено.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\Program Files\Opera\pirc2_2.exe', 'MBAM: Malware.Packer.Gen');
QuarantineFile('C:\Users\Администратор\AppData\Local\Temp\yj63g5pl.exe', 'MBAM: Spyware.Password');
QuarantineFile('D:\Downloads\Alcohol 120% для Windows 7\Нужный вам кряк PatCh 5.0.0 RU\Plugins\Helper\AlSrvN.exe', 'MBAM: Backdoor.Agent');
QuarantineFile('D:\Downloads\USDownloader135\Plugins\DataCodRu.plg', 'MBAM: Trojan.Downloader');
QuarantineFile('D:\Downloads\USDownloader135\Plugins\PhotoCodRu.plg', 'MBAM: Trojan.Downloader');
QuarantineFile('D:\Программы\PDFConverterSetup.exe', 'MBAM: Adware.Agent');
QuarantineFile('D:\Программы\Delphi7\keygen.exe', 'MBAM: RiskWare.Tool.CK');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\igfxtray.dat', 'MBAM: Malware.Trace');
DeleteFile('C:\Users\Администратор\AppData\Local\Temp\yj63g5pl.exe');
DeleteFile('C:\Users\Администратор\AppData\Roaming\igfxtray.dat');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте новый лог сканирования MBAM, окно с результатами сканирования пока не закрывайте.

- - - Добавлено - - -

+ смените все пароли, по окончанию лечения смените их ещё раз.

[Codimca]

Новый лог сканирования MBAM:
mbam-log-2012-10-16 (20-39-02).txt

[regist]

Удалите в MBAM только

Код:

Обнаруженные ключи в реестре:  2
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKCU\Software\Windows Rubar Defender (PUP.SetToolbar) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

D:\Программы\PDFConverterSetup.exe проверьте на http://www.virustotal.com/ ссылку на результат проверки напишите (ps/если этот файл не очень нужен, то тоже его удалите).

[Codimca]

Спасибо, всё сделал.

[regist]

D:\Программы\PDFConverterSetup.exe

удалили в итоге ? если нет, то хочется увидеть ссылку на результат его проверки.

смените пароли, что с проблемой ?.

[Codimca]

D:\Программы\PDFConverterSetup.exe удалил, пароли сменил. Тему можно закрыть.

[regist]

удалите карантины AVZ

деинсталируйте MBAM.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 23
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\администратор\\appdata\\local\\temp\\yj 63g5pl.exe - Backdoor.Win32.Buterat.dhne ( DrWEB: BackDoor.Butirat.201, BitDefender: Gen:Variant.Kazy.95426 )
  2. c:\\users\\администратор\\appdata\\roaming\\micros oft\\taskhost.exe - Backdoor.Win32.Buterat.dhnf ( DrWEB: BackDoor.Butirat.201, BitDefender: Gen:Variant.Kazy.95426 )