Добрый день. Посмотрите пожалуйста логи.
ПК похоже заражен вирусами.. Помогите пожалуйста вылечить.
Так же обнаружил подозрительное соединение которое идет от процесса mspaint - > на IP china
Заранее благодарен.
Добрый день. Посмотрите пожалуйста логи.
ПК похоже заражен вирусами.. Помогите пожалуйста вылечить.
Так же обнаружил подозрительное соединение которое идет от процесса mspaint - > на IP china
Заранее благодарен.
Уважаемый(ая) forever, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
1. Выполните скрипт в АВЗ:
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; TerminateProcessByName('c:\users\admin\appdata\roaming\f90e.exe'); TerminateProcessByName('c:\users\admin\appdata\roaming\f757.exe'); TerminateProcessByName('c:\users\admin\appdata\roaming\e437.exe'); TerminateProcessByName('c:\users\admin\appdata\roaming\dca3.exe'); TerminateProcessByName('c:\users\admin\appdata\roaming\d5bd.exe'); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe',''); QuarantineFile('C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr',''); QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Rbtutl.exe',''); QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Nbtuth.exe',''); QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Ebtuty.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe',''); QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe',''); QuarantineFile('c:\users\admin\appdata\roaming\f90e.exe',''); QuarantineFile('c:\users\admin\appdata\roaming\f757.exe',''); QuarantineFile('c:\users\admin\appdata\roaming\e437.exe',''); QuarantineFile('c:\users\admin\appdata\roaming\dca3.exe',''); QuarantineFile('c:\users\admin\appdata\roaming\d5bd.exe',''); DeleteFile('c:\users\admin\appdata\roaming\d5bd.exe','32'); DeleteFile('c:\users\admin\appdata\roaming\dca3.exe','32'); DeleteFile('c:\users\admin\appdata\roaming\e437.exe','32'); DeleteFile('c:\users\admin\appdata\roaming\f757.exe','32'); DeleteFile('c:\users\admin\appdata\roaming\f90e.exe','32'); DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe','32'); DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Ebtuty.exe','32'); DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Nbtuth.exe','32'); DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Rbtutl.exe','32'); DeleteFile('C:\Users\Admin\appdata\roaming\screensaverpro.scr','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','26509'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','inetb123'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','x222n9'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xshin1'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n1'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n3'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n7'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n8'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n9'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','x1h2n9'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dqklonee'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rbtutl'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nbtuth'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ebtuty'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
3. Пофиксите следующие строчки в HiJackThis если они у вас есть.
4. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).Код:O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr O4 - HKCU\..\Run: [Nbtuth] C:\Users\Admin\AppData\Roaming\Microsoft\Nbtuth.exe O4 - HKCU\..\Run: [Ebtuty] C:\Users\Admin\AppData\Roaming\Microsoft\Ebtuty.exe O4 - HKCU\..\Run: [x222n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe O4 - HKCU\..\Run: [xsh2n6] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe O4 - HKCU\..\Run: [xsh2n5] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe O4 - HKCU\..\Run: [xsh2n4] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe O4 - HKCU\..\Run: [xsh2n3] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe O4 - HKCU\..\Run: [xsh2n1] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe O4 - HKCU\..\Run: [xshin1] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe O4 - HKCU\..\Run: [x1h2n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe O4 - HKCU\..\Run: [xsh2n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe O4 - HKCU\..\Run: [xsh2n8] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe O4 - HKCU\..\Run: [xsh2n7] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe O4 - HKCU\..\Run: [inetb123] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe O4 - HKCU\..\Run: [Rbtutl] C:\Users\Admin\AppData\Roaming\Microsoft\Rbtutl.exe O4 - HKCU\..\Run: [dqklonee] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe O4 - HKLM\..\Policies\Explorer\Run: [26509] C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe
5. Проверьте эти файлы на virustotalКод:Обнаруженные параметры в реестре: 17 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|26509 (Trojan.Inject.RRE) -> Параметры: C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Screen Saver Pro 3.1 (Trojan.Agent.ED) -> Параметры: C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|x222n9 (Trojan.Agent.ED) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n6 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n5 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n4 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n3 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n1 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xshin1 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|x1h2n9 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n9 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n8 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n7 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|inetb123 (Trojan.Inject) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dqklonee (Trojan.Lethic) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87891\sxsh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe -> Действие не было предпринято. Объекты реестра обнаружены: 2 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Lethic) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe) Хорошо: () -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87891\sxsh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято. Обнаруженные файлы: C:\Users\Admin\AppData\Roaming\E437.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято. C:\Users\Admin\AppData\Roaming\D5BD.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято. C:\Users\Admin\AppData\Roaming\DCA3.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято. C:\Users\Admin\AppData\Roaming\F757.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято. C:\Users\Admin\AppData\Roaming\F90E.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято. C:\ProgramData\Local Settings\Temp\ccanmo.exe (Trojan.Inject.RRE) -> Действие не было предпринято. C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr (Trojan.Agent.ED) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe (Trojan.Agent.ED) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe (Trojan.Inject) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe (Trojan.Lethic) -> Действие не было предпринято. C:\Users\Admin\AppData\Local\Temp\_install_\msiexec.exe (Trojan.Inject.RRE) -> Действие не было предпринято. C:\Users\Admin\AppData\Roaming\temp.bin (Trojan.Agent.ED) -> Действие не было предпринято. C:\Users\Admin\AppData\Roaming\F028.exe.gonewiththewings (Trojan.Agent.ED) -> Действие не было предпринято. c:\users\admin\appdata\roaming\microsoft\ybtuts.exe (Trojan.Downloader) -> Действие не было предпринято. C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87891\sxsh10.exe (PasswordStealer.Tepfer) -> Действие не было предпринято. C:\Users\Admin\AppData\Roaming\800.exe.gonewiththewings (Backdoor.Azbreg) -> Действие не было предпринято.
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
6. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.Код:C:\TMP\TrustedInstaller.exe C:\Program Files\WinRAR\original_files_and_patch\Keygen.exe
7. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
8. По окончанию лечения смените все пароли на веб ресурсы.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Извините. Комп был не доступен на выходных.
Сделал все как вы написали
Каранти отправил
Файл сохранён как 130902_140909_quarantine_52249c058c842.zip
Логи привожу
P.S
Кстати virustotal.com не открывается (пробовал на 2-х браузерах).. Похоже ещё не все
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Jbtutd.exe',''); DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Jbtutd.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jbtutd'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ybtuts'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо. Сделал все как написали.
Логи привожу.
На virustotal.com так и не заходит
Карантина не было..
Жду дальнейших указаний =)
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Выполните скрипт в АВЗ:
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SetAVZGuardStatus(true); ClearQuarantine; QuarantineFile('C:\Users\Admin\AppData\Roaming\E465.exe',''); BC_ImportQuarantineList; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте логи RSIT (http://virusinfo.info/showthread.php?t=115256)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Ещё раз прошу прощения. Постараюсь, быстрей делать ..
Кстати заметил что файл который лежит в C:\Users\Admin\AppData\Roaming\*.exe, при каком то условии меняет своё имя, сейчас уже E223.exe
Логи привожу
Результат загрузки
Файл сохранён как 130906_195217_virus_522a327115327.zip
Размер файла 604
MD5 bf6398926f4caa8ccce22718ec8969ed
Благодарю за помощь
Проверьте эти файлы на virustotal
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.Код:C:\Users\Admin\AppData\Roaming\E223.exe
Что находится в этой C:\Users\Admin\AppData\Roaming\csflex38102013 папке?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
C:\Users\Admin\AppData\Roaming\E223.exeСегодня этого файла уже не было, даже похожего *.exe нет
Что находится в этой C:\Users\Admin\AppData\Roaming\csflex38102013 папке?
Это как я понял данный какой то проги.. (по работе), на сколько я понял, спрошу у знакомого, так как его ноут.
А там че-то страшное ?
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 63
- В ходе лечения обнаружены вредоносные программы:
- c:\\progra~2\\locals~1\\temp\\ccanmo.exe - Trojan-Downloader.Win32.Andromeda.uhz ( DrWEB: BackDoor.Andromeda.178, BitDefender: Trojan.GenericKDV.949498, AVAST4: Win32:Kryptik-LLD [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-121921\\inetb123.exe - Trojan-PSW.Win32.Tepfer.pkhp ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKDV.1182098, AVAST4: Win32:Kryptik-MRN [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-22892\\s222h10.exe - Backdoor.Win32.Azbreg.vvu ( DrWEB: Trojan.Winlock.8811, BitDefender: Trojan.GenericKDV.1159134, AVAST4: Win32:Crypt-PTQ [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81140\\sxshin1.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81240\\sxshin1.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81340\\sxshin3.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81350\\sxshin4.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81650\\sxshin5.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-86650\\sxshin6.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87650\\sxshin7.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87850\\sxshin8.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87890\\sxshin9.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87892\\s1sh10.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
- c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-92171\\dqklonee.exe - Trojan-PSW.Win32.Tepfer.qhql ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1214808, AVAST4: Win32:Dropper-NCF [Drp] )
- c:\\users\\admin\\appdata\\roaming\\screensaverpro .scr - Worm.Win32.Ngrbot.thu ( DrWEB: Trojan.Spambot.12316, BitDefender: Trojan.GenericKD.1219329, AVAST4: Win32:Crypt-PWO [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) forever, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.