-
Junior Member
- Вес репутации
- 58
вирус блокирующий файлы m. office и рисунки [Backdoor.Win32.Cidox.ddo, Backdoor.Win32.Cidox.ddy
]
Здравствуйте!
На компьютере были вирусы блокирующие файлы m. office и рисунки (отправьте смс ...). После проверки doktor web данные файлы перестали нормально открываться (файлы excel -краказябры; фото, рисунки -крестик). Кроме всего прочего при открытии браузера Opera постоянно вылезает сайт с вирусами speed 2. Хотя его постоянно убираешь из вкладки по умолч. После него опять приходится проверять компьютер.
Не могу загрузить virusinfo_cure.zip весит 751.9 KB
Если нужны файлы, то они загружены в http://rghost.ru/41182108
А файл virusinfo_cure.zip в [удалено]
Последний раз редактировалось thyrex; 27.10.2012 в 13:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) dina, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
DeleteService('mkdrv');
DeleteFile('C:\WINDOWS\mkdrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сообщение от
dina
После проверки doktor web данные файлы перестали нормально открываться
Полный бред, они у Вас не смогли бы нормально открыться и без проверки. Оригиналы зашифрованных файлов есть? Скорее всего подхватили шифровальщика Hanar (Encoder.162), причем версию, которая шифрует алгоритмом Blowfish
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Оригиналов нет. Карантин отправлен. Логи выложены. virusinfo_cure.zip в [удалено]
-
virusinfo_cure.zip загрузите по ссылке Прислать запрошенный карантин вверху темы.
Профиксите в HijackThis
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FA7C7BE-C7F2-4709-8DD4-C54A43983990}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F7BCC26-D5F9-4FEE-AE40-27614C96FEA8}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{78649829-2C61-45A5-9F90-85C7861AFDB1}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A687026F-9DFD-447B-A397-56A17AB73478}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABDC59F7-D9F3-4053-81C1-F987E638CAB9}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B10079A3-56E8-4C1E-9D03-231E1CCC5F69}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0FA7C7BE-C7F2-4709-8DD4-C54A43983990}: NameServer = 127.0.0.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{0FA7C7BE-C7F2-4709-8DD4-C54A43983990}: NameServer = 127.0.0.1
если после фикса пропадёт интернет, то пропишите вручную настройки DNS рекомендуемые провайдером.
Сделайте полный образ автозапуска uVS
-
-
Junior Member
- Вес репутации
- 58
Сделано. Что делать дальше?
Последний раз редактировалось dina; 27.10.2012 в 14:11.
-
Выполните скрипт в uVS
Код:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo D:\AUTORUN.INF
delref HTTP://BROWSERHELP2.RU
zoo F:\AUTORUN.EXE
delref F:\AUTORUN.EXE
zoo %SystemDrive%\PROGRAM FILES\MEGAFON INTERNET\UPDATEDOG\OUC.EXE
zoo %SystemDrive%\PROGRAM FILES\INSTA2\INSTA\OVE4KA.BAT
; C:\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\TASKHOST.EXE
addsgn 1AB9739A5583798FF42BFB3A8849FE2D268AFC55C1CB5F780CCE818D10D6F85963268357B748A1786B800DAA7E2709FAF4E2DC4315DAD6A03817956FC760AE7E 8 TASKHOST.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\TASKHOST.EXE
zoo %SystemDrive%\PROGRAM FILES\DD2\DD1\VIDISH.BAT
chklst
delvir
czoo
restart
- Сделайте лог полного сканирования МВАМ.
-
-
Junior Member
- Вес репутации
- 58
-
Удалите в МВАМ все, кроме
Код:
Обнаруженные ключи в реестре: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QipGuard (Spyware.Zbot) -> Действие не было предпринято.
Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Обнаруженные файлы: 15
C:\Documents and Settings\Альберт\Application Data\QipGuard\QipGuard.exe (Spyware.Zbot) -> Действие не было предпринято.
C:\WINDOWS\system32\GreenFields.scr (Malware.Packer.Gen) -> Действие не было предпринято.
C:\WINDOWS\system32\MRS.exe (Backdoor.Bot) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
-
где лог контрольного/повторного сканирования MBAM ?
смените все пароли!
- - - Добавлено - - -
карантин uVS почему не прислали ?
6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем
virus и загрузите по ссылке
Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)
-
-
Junior Member
- Вес репутации
- 58
Архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ был правда в формате rar. Пришлось переупаковывать. Новая проверка MBAM сделана. Лог прилагаю.
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\Альберт\Application Data\QipGuard\QipGuard.exe', 'MBAM: Spyware.Zbot');
QuarantineFile('C:\Documents and Settings\Альберт\Local Settings\Temp\ygiczt74.exe', 'MBAM: Backdoor.Cidox');
QuarantineFile('C:\System Volume Information\_restore{0D00D316-3E4F-40B6-A4E6-E99232D8FB26}\RP371\A0116505.exe', 'MBAM: Backdoor.Cidox');
QuarantineFile('C:\WINDOWS\system32\GreenFields.scr', 'MBAM: Malware.Packer.Gen');
QuarantineFile('C:\WINDOWS\system32\MRS.exe', 'MBAM: Backdoor.Bot');
DeleteFile('C:\Documents and Settings\Альберт\Local Settings\Temp\ygiczt74.exe');
DeleteFile('C:\System Volume Information\_restore{0D00D316-3E4F-40B6-A4E6-E99232D8FB26}\RP371\A0116505.exe');
QuarantineFileF('C:\PROGRAM FILES\INSTA2','*', true,'',0 ,0);
QuarantineFileF('C:\PROGRAM FILES\DD2','*', true,'',0 ,0);
DeleteFile('C:\PROGRAM FILES\DD2\DD1\VIDISH.BAT');
DeleteFile('C:\PROGRAM FILES\INSTA2\INSTA\OVE4KA.BAT');
DeleteFile('C:\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\TASKHOST.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторный лог MBAM
смените все пароли !
Последний раз редактировалось regist; 28.10.2012 в 19:22.
-
-
Junior Member
- Вес репутации
- 58
Карантин отправлен. Позже пришлю лог.
-
+ снова сделайте лог uVS
Содержимое папок
Код:
C:\PROGRAM FILES\INSTA2
C:\PROGRAM FILES\DD2
посмотрите и сообщите
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\альберт\\local settings\\temp\\ygiczt74.exe - Backdoor.Win32.Cidox.ddy ( BitDefender: Gen:Variant.Zusy.20965 )
- c:\\system volume information\\_restore{0d00d316-3e4f-40b6-a4e6-e99232d8fb26}\\rp371\\a0116505.exe - Backdoor.Win32.Cidox.ddo ( DrWEB: Trojan.Mayachok.17986, BitDefender: Gen:Variant.Zusy.20965 )
-