Вирус Trojan Muldrop1.48542 в общих документах.

[ALeKsaNdRoy]

Всем привет! Уже давно пытаюсь удалить его, но как - то пока безуспешно.
Суть такова: изредка, примерно раз в неделю, он начинает себя клонировать в папки общих документов с названиями этих же папок только на англ языке. Например: В папке "Музыка" находится архив "Music.rar" и.д.
После, следует какая - то атака, появляются различные .exe и .bat файлы, но др веб стремительно их бракует в карантин, вылазиют сообщения за сообщениями что вирус удален. Потом все утихает, и через какое - то время все по новой. Есть подозрения, что вирус управляется из вне, потому что состав архива поменялся.

https://www.virustotal.com/ru/file/5...is/1365251830/

Старый состав архива я не помню, он был что - то типо картинка, докс файл, и exe файл, теперь только картинка и exe файл и имена файлов совсем другие.

Состав архива:

1. Green Bubbles.exe
2. thumbnail.jpg

[Info_bot]

Уважаемый(ая) ALeKsaNdRoy, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Сделайте лог полного сканирования МВАМ

[ALeKsaNdRoy]

MBAM-log-2013-04-07 (17-16-56).txt

c:\windows\system32\drivers\etc\hоsts
здесь находится 2 файла с таким именем, один нормальный файл хост и второй пустой

а те что ноходятся по пути D:\System Volume Information\
очень интересно, неужели это они?)
не ожидал что вирус сидит не на системном диске

[thyrex]

Удалите в МВАМ только указанные ниже записи

Код:

c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.

[ALeKsaNdRoy]

Удалил, и теперь там остался только один пустой файл хост, а тот что был, я его сам создавал после старой атаки, и там не было ни каких лишних строк, возможно просто он отличался по составу с оригинальным, и из за этого его воспринимало как вирус. Теперь как я понимаю мне нужно создать новый файл хост или отредактировать этот, чтобы не было неполадок с инетом, но врятли это было причиной всех этих атак. Есть теория что заражение идет с компьютера который находится в локальной сети, и поэтому дальше общих документов клонироваться не может, я проверял и тот компьютер, но ничего серьезного не нашел, запретил доступ с него в мой компьютер, посмотрим вернется ли вирус.

[Techno]

c:\windows\system32\drivers\etc\hоsts

- это не файл хост, в этом названии вторая буква русская.

Проблемы какие остались?

[ALeKsaNdRoy]

- это не файл хост, в этом названии вторая буква русская.

Проблемы какие остались?

Ясно, пока ничего нет, если так то скорее всего это был он, спасибо за помощь!

[ALeKsaNdRoy]

Вирус вернулся, только что была атака, проблема не решена.

[Techno]

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Сделайте лог TDSSKiller

[ALeKsaNdRoy]

Все сделал, просканировал первый раз и выдало:

Скрытый текст

Код:

23:55:08.0918 2296  ============================================================
23:55:08.0918 2296  Scan finished
23:55:08.0918 2296  ============================================================
23:55:08.0945 3920  Detected object count: 3
23:55:08.0945 3920  Actual detected object count: 3
23:56:14.0544 3920  DrWebEngine ( ForgedFile.Multi.Generic ) - skipped by user
23:56:14.0545 3920  DrWebEngine ( ForgedFile.Multi.Generic ) - User select action: Skip 
23:56:14.0547 3920  Tcpip ( ForgedFile.Multi.Generic ) - skipped by user
23:56:14.0547 3920  Tcpip ( ForgedFile.Multi.Generic ) - User select action: Skip 
23:56:14.0549 3920  TCPIP6 ( ForgedFile.Multi.Generic ) - skipped by user
23:56:14.0549 3920  TCPIP6 ( ForgedFile.Multi.Generic ) - User select action: Skip

Скрыть

После несколько раз сканировал и ничего.
Сканировал по стандартным параметрам.

[Techno]

- Сделайте лог ComboFix.

[ALeKsaNdRoy]

ComboFix.txt

- - - Добавлено - - -

В ProgramData есть еще несколько файлов с именами "0".
То что эта программа удалила, возможно что это и есть этот самый вирус?

[Techno]

В ProgramData есть еще несколько файлов с именами "0".

Удалите их.

Что с проблемами?

[ALeKsaNdRoy]

Все лучезарно. Думаю тему можно закрывать.
Спасибо вам огромное за помощь!

- - - Добавлено - - -

Правда, теперь ComboFix не удаляется, вернее файлы от него, написал команду в выполнить, показало что файл не найден, удалил сам этот файл, выполнил удаление через OTCleanIt, но в итоге после перезагрузки ничего не изменилось, и теперь вообще в папку Qoobox зайти не могу, не том что ее удалить. Есть ли еще какой нибудь способ удалить эти файлы? Мучаюсь с правами доступа, но ничего не помогает, хоть и там показывает что у меня полный доступ.

[Techno]

Скачайте снова comboFix и

Код:

Combofix /Uninstall

Вместо Combofix напишите полный путь к файлу Combofix.exe в кавычках, например:

Код:

"C:\рабочий стол\Combofix" /Uninstall

[ALeKsaNdRoy]

Спасибо!