-
Junior Member
- Вес репутации
- 57
Недолеченный троян - опять появился.
Доброго времени суток любимому сайту!
И всему женскому населению форума и сайта - от всей души поздравляю вас с днем весны и любви!
По проблеме: опять вылез троян, которого лечили здесь с неделю назад. После недельного затишья - упал Огнелис, на С опять появилась папка с:/iw6sTbAq8Zj2xDG в которой живет klpclst.dat, в Огнелисе опять перестали открываться фильмы (дает ошибку 404). Посмотрите, пожалуйста? Логи согласно правил выкладываю.
И, да - TDSSKiller молчит, АВИРа молчит.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Sibirian, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ в безопасном режиме:
Код:
begin
QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\f6s5akf4ccr.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b4ATRK7nYjY.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9dtla84bif.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1vfx4c4kgw.exe','');
DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1vfx4c4kgw.exe');
DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9dtla84bif.exe');
DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b4ATRK7nYjY.exe');
DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\f6s5akf4ccr.exe');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=117669).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
А также
Сделайте лог TDSSkiller
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Все выполнено.
Карантин:
Файл сохранён как 120308_182627_virus_4f58f9d3ba3fb.zip
Размер файла 552482
MD5 1e7e86fa2c358d16bbfe3a1713321205
Логи выкладываю.
-
Удалите в МВАМ все, кроме
Код:
D:\DISTRIB\Nero Burning ROM 6.6.0.15a Rus\Keygen.exe (Trojan.Agent) -> Действие не было предпринято.
D:\DISTRIB\Nero Burning ROM 6.6.0.15a Rus\nerosoftware\Keygen\Nero.Burning.ROM.6.6.0.14.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\DISTRIB\Nero Burning ROM 6.6.0.15a Rus\nerosoftware\Keygen\Nero.Burning.ROM.6.6.0.15.exe (Trojan.Agent) -> Действие не было предпринято.
D:\DISTRIB\Nero Burning ROM 6.6.0.15a Rus\nerosoftware\Keygen\Nero.Media.Player.1.4.0.32.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\DISTRIB\Nero Burning ROM 6.6.0.15a Rus\nerosoftware\Keygen\NeroMix.1.4.0.32.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\DISTRIB\Nero Burning ROM 6.6.0.15a Rus\nerosoftware\Keygen\NeroVision.Express.3.1.0.7.exe (Malware.Packer.Gen) -> Действие не было предпринято.
Пофиксите в HiJack
Код:
O1 - Hosts: 95.156.222.27 odnoklassniki.ru
O1 - Hosts: 95.156.222.27 www.facebook.com
O1 - Hosts: 95.156.222.27 www.twitter.com
O1 - Hosts: 95.156.222.27 vkontakte.ru
O1 - Hosts: 95.156.222.27 ru-ru.facebook.com
O1 - Hosts: 95.156.222.27 www.odnoklassniki.ru
O1 - Hosts: 95.156.222.27 vk.com
O1 - Hosts: 95.156.222.27 www.vkontakte.ru
O1 - Hosts: 95.156.222.27 www.vk.com
O1 - Hosts: 95.156.222.27 facebook.com
O1 - Hosts: 95.156.222.27 twitter.com
O4 - Startup: AdLoader.lnk = C:\Windows\System32\cmd.exe
Удалите вручную
Код:
C:\plg.txt
C:\Users\user\AppData\Roaming\iw6sTbAq8Zj2xDG
C:\iw6sTbAq8Zj2xDG
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Выполнил. Сейчас посмотрю результаты.
На С: пока папку не создает, Огнелис работает, но на паре сайтов, где просматривал фильмы онлайн, вместо окна фильма - 404 ошибка. Что-то можно мне посоветовать?
Последний раз редактировалось Sibirian; 09.03.2012 в 00:05.
-
Где новый лог МВАМ? Лог HiJack?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
А где было написано что их надо сделать?!
Сейчас выложу.
-
Junior Member
- Вес репутации
- 57
Выполнено. Выкладываю.
Опять в HiJack что фиксил, что не фиксил((...
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::
File::
Driver::
Folder::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"d03770bb"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
Плохого не видно
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Спасибо - все выполнено. Помониторю день-два... Вроде не видно проблемы.
-
Junior Member
- Вес репутации
- 57
Доброго дня,
помогли - тему можно закрывать.
Громадное вам всем спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\user\\appdata\\roaming\\microsoft\\wind ows\\start menu\\programs\\startup\\b4atrk7nyjy.exe - Backdoor.Win32.Gbot.vec ( DrWEB: Trojan.Carberp.276, BitDefender: Trojan.Generic.7277612, AVAST4: Win32:MalOb-JR [Cryp] )
- c:\\users\\user\\appdata\\roaming\\microsoft\\wind ows\\start menu\\programs\\startup\\f6s5akf4ccr.exe - Backdoor.Win32.Gbot.vgn ( DrWEB: Trojan.Carberp.33, BitDefender: Backdoor.Generic.706689, AVAST4: Win32:Morphex-D [Cryp] )
- c:\\users\\user\\appdata\\roaming\\microsoft\\wind ows\\start menu\\programs\\startup\\1vfx4c4kgw.exe - Backdoor.Win32.Gbot.vgn ( DrWEB: Trojan.Carberp.33, BitDefender: Backdoor.Generic.706689, AVAST4: Win32:Morphex-D [Cryp] )
- c:\\users\\user\\appdata\\roaming\\microsoft\\wind ows\\start menu\\programs\\startup\\9dtla84bif.exe - Backdoor.Win32.Gbot.vem ( DrWEB: Trojan.Carberp.33, BitDefender: Backdoor.Generic.714095, AVAST4: Win32:SmokeLdr-E [Trj] )
-