CureIT обнаружил у себя Trojan.MayachokMEM.7 [Trojan.Win32.Cidox.afer ]

[Роман Богач]

При проверке CureIT пишет, что обезвреживает этот вирус, но при следующих проверках CureIT снова находит Trojan.MayachokMEM.7

[Info_bot]

Уважаемый(ая) Роман Богач, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O4 - HKCU\..\Run: [~backup~] C:\Users\Администратор\Documents\Application Data\explorer.exe

Выполните скрипт в AVZ:

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  TerminateProcessByName('c:\users\Администратор\documents\application data\explorer.exe');
  QuarantineFile('c:\users\Администратор\documents\application data\explorer.exe','');
  DeleteFile('c:\users\Администратор\documents\application data\explorer.exe');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[Роман Богач]

Прикрепил указанные файлы после проведения предложенных процедур, кроме того прикрепил файл карантина т.к. по ссылке вверху темы его прикрепить не удалось выходит сообщение "Ошибка загрузки.Данный файл уже был загружен"

- - - Добавлено - - -

Вероятнее всего в файле карантина, созданном скриптом, не будет проблемных файлов т.к., я заархивировал их копии, а вредоносные файлы удалил при помощи антивирусной программы. Поэтому предполагаю что скрипт в архив ничего не добавил. Архив с "вредителями" могу заслать дополнительно если это необходимо.

[regist]

Архив с "вредителями" могу заслать дополнительно если это необходимо.

пришлите по ссылке наверху. Из своего сообщения карантин уберите - это запрещено.

- - - Добавлено - - -

- Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.

что с проблемой ?

[Роман Богач]

Большое спасибо за помощь!

Вчера когда я обратился к вам за помощью, но сам продолжил попытки устранить проблему.

В результате: определил файл который оказался заражённым, это был файл explorer.exe в папке C:\Users\Администратор\Documents\Application Data, кроме того в этой папке находился файл explorer.dat, копии обоих файлов я поместил в архив, а два файла в папке я удалил при помощи функции "Уничтожить" антивируса McAfee Total Protection.
После этого комп перезагрузился и CureIt больше не находил угрозу.

Сегодня я проделал рекомендованные выше процедуры, после этого сформировал и прикрепил файлы логов и др. к своему сообщению.

Инфицированные файлы попытаюсь отправить через ссылку вверху, но как я уже писал у меня это не получилось сделать по неустановленной причине.
P.S. Закинул:
Файл сохранён как 130510_193757_quarantine_518d4c9585b4c.zip
Размер файла 34557
MD5 60efc334683009faa3f280234bb70a4a


Сейчас всё нормально никаких следов трояна не осталось.

Процедуру провёл архив отправил MD5 карантина: 90FF79F87756BC36B9C4B3FB49616E0A

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 TerminateProcessByName('c:\windows\syswow64\mtconf.exe');
 QuarantineFile('c:\windows\syswow64\mtconf.exe','');
 DeleteFile('c:\windows\syswow64\mtconf.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Сделайте лог полного сканирования МВАМ.

[Роман Богач]

Всё сделал как Вы указали. Лог прикрепил.

P.S. MBAM предлагает удалить объекты, стоит ли это делать?

[regist]

Удалите в MBAM всё кроме

Код:

Обнаруженные процессы в памяти:  1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1512 -> Действие не было предпринято.
Обнаруженные файлы:  8
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.

просканиройте заново и приложите новый лог MBAM

[Роман Богач]

Всё сделал по Вашим указаниям, направляю результат.

MBAM деинсталировать?

[regist]

MBAM деинсталировать?

да. что с проблемой ?

[Роман Богач]

Всё хорошо, проблема видимо решена, большое Вам спасибо за вашу работу!

Остался только вопрос: Тот ли я антивирус выбрал для защиты компьютера, если он проверяя всё не находил эти проблемы?

[regist]

по антивирусу советовать не могу. Это личное дело каждого.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[Роман Богач]

Вот ещё ошибки реестра нашёл CCleaner, в них на первой строчке снова Webalta abuehbhetn или это ничего страшного?

[regist]

Роман Богач, к сожалению на скрине очень мелко, так что не могу разглядеть, но верю вам на слово. От вебальты наверняка остались ещё записи в реестре (очень уж во многих местах эта запись себя прописывает), но в большинстве случаев это не мешает нормальной работе системы, так что нет смысла их вручную выискивать. А так Ccleaner-у думаю можно довериться и удалить.

[Роман Богач]

Выполните скрипт в AVZ при наличии доступа в интернет:

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, [/url]

Вот прикладываю текстовый файл.

- - - Добавлено - - -

Обновил. Запустил скрипт снова, ответ: Уязвимости не обнаружены.

Ещё раз огромное Вам спасибо за вашу работу!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\quarantine\\explorer.exe - Trojan.Win32.Cidox.afer ( BitDefender: Gen:Variant.Zusy.46433, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. \\quarantine.rar - Trojan.Win32.Cidox.afer ( BitDefender: Gen:Variant.Zusy.46433 )