Добрый день!
WinXP, периодически опера пишет "Внутренняя ошибка связи", IE тоже после этого перестает открывать странички. Пинги же бегают, рдп тоже работает.
Куда копать?
АВЗшка за автокарантинила какие то файлы, но не вкладываю, так как нет в инструкции.
Остальное все во вложении.
Заранее спасибо
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Fouriki, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
1) Выполните скрипт в АВЗ:
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; TerminateProcessByName('c:\windows\system32\msfmrlkj.exe'); SetServiceStart('Network Adapter Events', 4); StopService('Network Adapter Events'); QuarantineFile('C:\WINDOWS\system32\xtgina.dll',''); QuarantineFile('C:\WINDOWS\system32\machineupper32.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\588A9A9F.exe',''); QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft Corporation\mswu.ui',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\MPK\mpk.exe',''); QuarantineFile('c:\windows\system32\msfmrlkj.exe',''); QuarantineFile('c:\windows\system32\betwinservicexp.exe',''); DeleteFile('C:\WINDOWS\system32\msfmrlkj.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\MPK\mpk.exe','32'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\588A9A9F.exe','32'); DeleteFile('C:\WINDOWS\system32\machineupper32.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WinLogon','GinaDLL'); if MessageDlg('Рекомендуется отключить автозапуск со всех съемных носителей,нажмите "ОК" что бы отключить и "НЕТ" что бы отказаться ?', mtInformation, mbYes+mbNo, 0) = 6 then RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun','221'); DeleteService('Network Adapter Events'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пофиксите следующие строчки в HiJackThis если они у вас есть.
Эту c:\windows\system32\betwinservicexp.exe программу сами себе ставили?Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\All Users\Application Data\MPK\mpk.exe, O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\WINDOWS\system32\machineupper32.exe O4 - S-1-5-18 Startup: 588A9A9F.exe (User 'SYSTEM') O4 - .DEFAULT Startup: 588A9A9F.exe (User 'Default user')
- Сделайте новые логи AVZ
- Сделайте логи RSIT (http://virusinfo.info/showthread.php?t=115256)
- Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)
По окончанию лечения не забудьте сменить все пароли! Т.к. у вас Carberp.
Последний раз редактировалось thyrex; 20.07.2013 в 18:52. Причина: добавил важную строку
Нет, не ставили.
В хайжаке этого не было.
Карантин прислал по правилам.
Запрошенные логи во вложении
1) Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Выполните скрипт в АВЗ:
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; TerminateProcessByName('c:\windows\system32\betwinservicexp.exe'); QuarantineFile('c:\windows\system32\betwinservicexp.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\BeTwinVF.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\BeTwinSystem.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\BeTwinKF.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\BeTwinMF.sys',''); QuarantineFileF('C:\Documents and Settings\All Users\Application Data\MPK', '*', true, ' ', 0, 0); DeleteFile('c:\windows\system32\betwinservicexp.exe','32'); DeleteFile('C:\WINDOWS\System32\drivers\BeTwinVF.sys','32'); DeleteFile('C:\WINDOWS\System32\Drivers\BeTwinSystem.sys','32'); DeleteFile('C:\WINDOWS\System32\drivers\BeTwinKF.sys','32'); DeleteFile('C:\WINDOWS\System32\drivers\BeTwinMF.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\System','Windows Debugger 32'); DeleteService('BeTwinVideo'); DeleteService('BeTwinSystem'); DeleteService('BeTwinKeyboard'); DeleteService('BeTwinMouse'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
2) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Подробнее читайте в руководстве
Удаление кряков и кейгенов на ваше усмотрение.Код:Обнаруженные параметры в реестре: 1 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ⾩趓풸쯁�觙칸乐젙ꡍ珯庛王煞迻苾♷셇방䈳鐒ﬣtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ莪㛝鰾쭐โჯ㶞槺⭐ᕺꃆ띛噧Ầꤜ읠藤tฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀꗏ骳ﰦ륏콁╶囂tฑ잲ﰀ楲냧봾읃쑾蓨曌嫔tฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ镻䴣ꦸ犏 -> Действие не было предпринято. Обнаруженные папки: 1 C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> Действие не было предпринято. С:\Documents and Settings\User\2308646.exe (Trojan.Ransom.FG) -> Действие не было предпринято. C:\Documents and Settings\User\Мои документы\avz4\avz4\Quarantine\2013-07-22\avz00002.dta (Trojan.Ransom.FG) -> Действие не было предпринято. C:\Documents and Settings\User\Мои документы\avz4\avz4\Quarantine\2013-07-22\bcqr00003.dat (Trojan.Ransom.FG) -> Действие не было предпринято. C:\Documents and Settings\User\Мои документы\avz4\avz4\Quarantine\2013-07-22\bcqr00004.dat (Trojan.Ransom.FG) -> Действие не было предпринято. C:\WINDOWS\system32\machineupper32_.exe (Trojan.Ransom.FG) -> Действие не было предпринято. C:\Documents and Settings\User\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf C:\Documents and Settings\All Users\Application Data\MPK\s0000 (Refog.Keylogger) -> Действие не было предпринято. (Malware.Trace) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
3) Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
4) Сделайте новые логи RSIT
5)По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
- Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
- Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
Код:tdsskiller.exe -silent -qmbr -qboot- Запустите файл fix.bat;
- Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
- Заархивруйте эту папку в zip архив с паролем virus. И отправьте полученный архив согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.
- Запустите файл TDSSKiller.exe;
- Нажмите кнопку "Начать проверку";
- В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
- По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
- Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
- Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
- После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
- Прикрепите лог утилиты к своему следующему сообщению
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
Последний раз редактировалось thyrex; 22.07.2013 в 14:37.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\application data\\microsoft corporation\\mswu.ui - Trojan-Dropper.Win32.Metel.l
- c:\\windows\\system32\\config\\systemprofile\\глав ное меню\\программы\\автозагрузка\\588a9a9f.exe - Trojan.Win32.Agent.zzgp ( BitDefender: Gen:Variant.Graftor.93082 )
- c:\\windows\\system32\\machineupper32.exe - Trojan-Ransom.Win32.Foreign.ddmn ( BitDefender: Trojan.GenericKDZ.20197, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\msfmrlkj.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Symmi.24738, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Fouriki, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
