Компьютер сильно тормозит [Trojan.Win32.Agent.acpro ]

**ArturL** · 29.10.2013, 22:28

virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.logСпасибо.
Сегодня через скайп от известного мне контакта пришел файл. Название файла соответствовало, вернее могло иметь место при моей работе (invoice_095564), поэтому этот файл не насторожил меня. я его сохранил на компьютер и открыл (с виду он смахивал на файл PDF). это оказался файл exe. через несколько секунд мой антивирусник McAfee предупредил, что заблокировал подозрительное интернет соединение. Из папки в которой этот файл был сохранен он исчез. Короче, перестали открываться браузеры Опера, Хром, стал глючить скайп. (не сохраняются сообщения, если чат с контактом не открыт, то сообщение совсем не приходит и т.д.) Прошу помощи. Логи прилагаю.

- - - Добавлено - - -

как-то не так логи прикрепились. отправляю еще раз.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Vvvyg** · 29.10.2013, 22:39

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantineEx(True);
 QuarantineFile('C:\Users\Артур\AppData\Roaming\Skype\artur.321\chatsync\6b\BdeUISrv.exe','Kaspersky: Trojan.Win32.Agent.acolm');
 DeleteFile('C:\Users\Артур\AppData\Roaming\Skype\artur.321\chatsync\6b\BdeUISrv.exe','32');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте полный образ автозапуска uVS.

**ArturL** · 30.10.2013, 00:09

вроде все отправил.
Прошу подтвердить получение.

**Vvvyg** · 30.10.2013, 00:21

Что-то не так. Карантин - туда, по красной ссылке. А полный образ автозапуска uVS, раз во вложения не лезет - на rghost.ru и ссылку сюда.

**ArturL** · 30.10.2013, 00:48

файл на rghost выложил номер файла 49812769 (прошлый раз ссылку не пропустили)
при попытке загрузить файл quarantine.zip по красной ссылке системы выдает сообщение:
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Попробую приложить обычным способом
Кстати, после перезагрузке, после загрузке рабочего стола появилось сообщение о прекращении проводника и его повторном перезапуске.

**Vvvyg** · 30.10.2013, 08:09

Не надо обычным способом, к тому же пустой карантин, удалите его из вложений.

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

offsgnsave

; C:\USERS\АРТУР\APPDATA\ROAMING\SONY CORPORATION\PMB\EUDCEDIT.EXE
addsgn 988C1FCA66294C9AA3CDAEB1DB5C120525013B1E89E11F780CA62D37A45F4F1ADC02FF677D5516073B09890F265549713BDB4BEE3599B0A77B7F2D3A67666173 32 Trojan.Inject [Malwarebytes]

zoo %SystemDrive%\USERS\АРТУР\APPDATA\ROAMING\SONY CORPORATION\PMB\EUDCEDIT.EXE
chklst
delvir

deltmp
restart

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый полный образ автозапуска uVS.

**ArturL** · 30.10.2013, 09:03

Добрый день!
Запрошенный карантин отправил:
Файл сохранён как 131030_045935_eudcedit_52709237438cc.zip
Размер файла 238183
MD5 29dc0084a620b0fe96baceede12bab2e
Образ автозапуска выложил на rghost. Файл 49815559

**Vvvyg** · 30.10.2013, 09:26

Что-то опять от Вас карантин толком получить не могу. С паролем архив загружали?

Интересный у Вас мутант, каждый раз с новым именем, путём, размером, хэшем и сигнатурой...

Загрузите систему в безопасном режиме с поддержкой сети, сделайте новый полный образ автозапуска uVS и не перезагружайте систему, пока не применим скрипт лечения.

**ArturL** · 30.10.2013, 11:22

Нахожусь в безопасном режиме. Образ автозапуска выложил на rghost. Файл 49816736
Попробывал еще раз отправить карантин по красной ссылке. Система сообщила что файл уже загружен.
Остаюсь в безопасном режиме.

**Vvvyg** · 30.10.2013, 12:23

Выполните скрипт в uVS:

Код:

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

offsgnsave

; C:\USERS\АРТУР\APPDATA\ROAMING\SKYPE\ARTUR.321\CHATSYNC\C6\CHARMAP.EXE
addsgn A7679B722D94B38D61D451A470885205784903D3F1BA5F787AE665FC10D68E6923578357C17099096B807BBAF65609FA82FA503215DAB02C2D77A42FC7062273 8 Luhe.Fiha.A [AVG]

zoo %SystemDrive%\USERS\АРТУР\APPDATA\ROAMING\SKYPE\ARTUR.321\CHATSYNC\C6\CHARMAP.EXE
chklst
delvir

deltmp
restart

Компьютер перезагрузится.

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый полный образ автозапуска uVS.

В папке с uVS есть логи выполнения скриптов за сегодня, вида 2013-10-30_ЧЧ-ММ-СС_log.txt, упакуйте их в архив и вложением к своему следующему сообщению.

Если сохранился исходный файл, который заразил систему - в архив .ZIP с паролем virus и в карантин.

**ArturL** · 30.10.2013, 13:14

1. Содержимое папки ZOO, запаковал в ZIP архив с паролем virus и отправил по красной ссылке.
Файл сохранён как 131030_090532_zoo_5270cbdcf2531.zip
Размер файла 239522
MD5 ca0013e2a981b146699ff9b1f5241e48
Во время создания этого архива, McAfee сообщил, что удалил троянского коня. Название я не запомнил, но путь файла лежал именно в папку ZOO.
2. Новый образ автозапуска сделал и выложил на rghost. файл 49818423.
3. Логи из папки UVS прилагаю.
4. Исходный файл не сохранился. Он пропал как только я его запустил.

**Vvvyg** · 30.10.2013, 13:32

Поздравляю, справились

Прочтите, осознайте и выполните рекомендации после лечения.

**ArturL** · 30.10.2013, 13:37

Спасибо, Вадим!

Как поддержать Ваш проект?

**Vvvyg** · 30.10.2013, 13:48

Сообщение от ArturL

Как поддержать Ваш проект?

Вверху ссылка есть, по крайней мере, в моём браузере

**ArturL** · 30.10.2013, 14:36

Спасибо Вадим,

Поддержал.

Только глюки со скайпом продолжаются. Может мне его переустановить? Поможет?

**Vvvyg** · 30.10.2013, 14:50

Попробуйте.
Сделайте ещё лог полного сканирования МВАМ.

**ArturL** · 30.10.2013, 22:22

Лог в приложении.

похоже осталась проблема в Скайпе. сейчас система MBAM сообщила, что предотвращено опасное соединение и указывает скайп. сообщения не сохраняются. вообщем глючит. переустановка ничего не дала. кроме того не смог удалить с диска программу Skype Click to Call. типа ошибка и не могу удалить. мне кажется проблемы остались.

**Vvvyg** · 31.10.2013, 08:16

Удалите в MBAM:

Код:

c:\users\артур\appdata\roaming\sony corporation\pmb\eudcedit.exe (Trojan.Inject) -> Действие не было предпринято.
c:\вирусы\uvs\zoo\eudcedit.exe._4540f210c79ebaa308022fcbb28035db979a5ba5 (Trojan.Inject) -> Действие не было предпринято.

Перезагрузите компьютер, сделайте новый лог MBAM.

**ArturL** · 31.10.2013, 14:21

Добрый день!

Вчера после отправке Вам отчета МВАМ я выключил компьютер. Сегодня утром, получив Ваше сообщение с рекомендациями удалить два файла, мне пришлось снова запустить МВАМ на сканирование. после сканирования, этих двух файлов уже не было. так что удалить я ничего не смог. Новый отчет прилагаю.

**Vvvyg** · 31.10.2013, 14:37

Уведомление

Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.

Что с проблемами?