Показано с 1 по 13 из 13.

Помогите. ПК Заражен. Есть подозрительные соединения [Trojan-PSW.Win32.Tepfer.qhql, Trojan-PSW.Win32.Tepfer.pkhp ] (заявка № 144752)

  1. #1
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    145
    Вес репутации
    52

    Помогите. ПК Заражен. Есть подозрительные соединения [Trojan-PSW.Win32.Tepfer.qhql, Trojan-PSW.Win32.Tepfer.pkhp ]

    Добрый день. Посмотрите пожалуйста логи.
    ПК похоже заражен вирусами.. Помогите пожалуйста вылечить.

    Так же обнаружил подозрительное соединение которое идет от процесса mspaint - > на IP china

    Заранее благодарен.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) forever, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    1. Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     TerminateProcessByName('c:\users\admin\appdata\roaming\f90e.exe');
     TerminateProcessByName('c:\users\admin\appdata\roaming\f757.exe');
     TerminateProcessByName('c:\users\admin\appdata\roaming\e437.exe');
     TerminateProcessByName('c:\users\admin\appdata\roaming\dca3.exe');
     TerminateProcessByName('c:\users\admin\appdata\roaming\d5bd.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe','');
     QuarantineFile('C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr','');
     QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Rbtutl.exe','');
     QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Nbtuth.exe','');
     QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Ebtuty.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe','');
     QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe','');
     QuarantineFile('c:\users\admin\appdata\roaming\f90e.exe','');
     QuarantineFile('c:\users\admin\appdata\roaming\f757.exe','');
     QuarantineFile('c:\users\admin\appdata\roaming\e437.exe','');
     QuarantineFile('c:\users\admin\appdata\roaming\dca3.exe','');
     QuarantineFile('c:\users\admin\appdata\roaming\d5bd.exe','');
     DeleteFile('c:\users\admin\appdata\roaming\d5bd.exe','32');
     DeleteFile('c:\users\admin\appdata\roaming\dca3.exe','32');
     DeleteFile('c:\users\admin\appdata\roaming\e437.exe','32');
     DeleteFile('c:\users\admin\appdata\roaming\f757.exe','32');
     DeleteFile('c:\users\admin\appdata\roaming\f90e.exe','32');
     DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe','32');
     DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Ebtuty.exe','32');
     DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Nbtuth.exe','32');
     DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Rbtutl.exe','32');
     DeleteFile('C:\Users\Admin\appdata\roaming\screensaverpro.scr','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','26509');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','inetb123');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','x222n9');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xshin1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n3');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n6');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n7');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n8');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsh2n9');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','x1h2n9');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dqklonee');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Rbtutl');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nbtuth');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ebtuty');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    3. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr
    O4 - HKCU\..\Run: [Nbtuth] C:\Users\Admin\AppData\Roaming\Microsoft\Nbtuth.exe
    O4 - HKCU\..\Run: [Ebtuty] C:\Users\Admin\AppData\Roaming\Microsoft\Ebtuty.exe
    O4 - HKCU\..\Run: [x222n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe
    O4 - HKCU\..\Run: [xsh2n6] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe
    O4 - HKCU\..\Run: [xsh2n5] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe
    O4 - HKCU\..\Run: [xsh2n4] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe
    O4 - HKCU\..\Run: [xsh2n3] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe
    O4 - HKCU\..\Run: [xsh2n1] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe
    O4 - HKCU\..\Run: [xshin1] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe
    O4 - HKCU\..\Run: [x1h2n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe
    O4 - HKCU\..\Run: [xsh2n9] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe
    O4 - HKCU\..\Run: [xsh2n8] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe
    O4 - HKCU\..\Run: [xsh2n7] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe
    O4 - HKCU\..\Run: [inetb123] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe
    O4 - HKCU\..\Run: [Rbtutl] C:\Users\Admin\AppData\Roaming\Microsoft\Rbtutl.exe
    O4 - HKCU\..\Run: [dqklonee] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe
    O4 - HKLM\..\Policies\Explorer\Run: [26509] C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe
    4. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные параметры в реестре:  17
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|26509 (Trojan.Inject.RRE) -> Параметры: C:\PROGRA~2\LOCALS~1\Temp\ccanmo.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Screen Saver Pro 3.1 (Trojan.Agent.ED) -> Параметры: C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|x222n9 (Trojan.Agent.ED) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n6 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n5 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n4 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n3 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n1 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xshin1 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|x1h2n9 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n9 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n8 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xsh2n7 (PasswordStealer.Tepfer) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|inetb123 (Trojan.Inject) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dqklonee (Trojan.Lethic) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87891\sxsh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  2
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Lethic) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe) Хорошо: () -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87891\sxsh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Users\Admin\AppData\Roaming\E437.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Roaming\D5BD.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Roaming\DCA3.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Roaming\F757.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Roaming\F90E.exe.gonewiththewings (Trojan.Lethic) -> Действие не было предпринято.
    C:\ProgramData\Local Settings\Temp\ccanmo.exe (Trojan.Inject.RRE) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Roaming\ScreenSaverPro.scr (Trojan.Agent.ED) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-22892\s222h10.exe (Trojan.Agent.ED) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-86650\sxshin6.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81650\sxshin5.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81350\sxshin4.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81340\sxshin3.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81240\sxshin1.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81140\sxshin1.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87892\s1sh10.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87890\sxshin9.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87850\sxshin8.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87650\sxshin7.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121921\inetb123.exe (Trojan.Inject) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-92171\dqklonee.exe (Trojan.Lethic) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Local\Temp\_install_\msiexec.exe (Trojan.Inject.RRE) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Roaming\temp.bin (Trojan.Agent.ED) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Roaming\F028.exe.gonewiththewings (Trojan.Agent.ED) -> Действие не было предпринято.
    c:\users\admin\appdata\roaming\microsoft\ybtuts.exe (Trojan.Downloader) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-87891\sxsh10.exe (PasswordStealer.Tepfer) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Roaming\800.exe.gonewiththewings (Backdoor.Azbreg) -> Действие не было предпринято.
    5. Проверьте эти файлы на virustotal
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

    Код:
    C:\TMP\TrustedInstaller.exe
    C:\Program Files\WinRAR\original_files_and_patch\Keygen.exe
    6. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    7. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    8. По окончанию лечения смените все пароли на веб ресурсы.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    145
    Вес репутации
    52
    Извините. Комп был не доступен на выходных.
    Сделал все как вы написали

    Каранти отправил
    Файл сохранён как 130902_140909_quarantine_52249c058c842.zip

    Логи привожу

    P.S
    Кстати virustotal.com не открывается (пробовал на 2-х браузерах).. Похоже ещё не все

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
     begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Jbtutd.exe','');
     DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Jbtutd.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jbtutd');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ybtuts');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    145
    Вес репутации
    52
    Спасибо. Сделал все как написали.
    Логи привожу.
    На virustotal.com так и не заходит

    Карантина не было..

    Жду дальнейших указаний =)

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SetAVZGuardStatus(true);
    ClearQuarantine;
    QuarantineFile('C:\Users\Admin\AppData\Roaming\E465.exe','');
    BC_ImportQuarantineList;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    Сделайте логи RSIT (http://virusinfo.info/showthread.php?t=115256)
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    145
    Вес репутации
    52
    Ещё раз прошу прощения. Постараюсь, быстрей делать ..
    Кстати заметил что файл который лежит в C:\Users\Admin\AppData\Roaming\*.exe, при каком то условии меняет своё имя, сейчас уже E223.exe

    Логи привожу

    Результат загрузки

    Файл сохранён как 130906_195217_virus_522a327115327.zip
    Размер файла 604
    MD5 bf6398926f4caa8ccce22718ec8969ed

    Благодарю за помощь

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Проверьте эти файлы на virustotal
    Код:
    C:\Users\Admin\AppData\Roaming\E223.exe
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

    Что находится в этой C:\Users\Admin\AppData\Roaming\csflex38102013 папке?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. #10
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    145
    Вес репутации
    52
    C:\Users\Admin\AppData\Roaming\E223.exeСегодня этого файла уже не было, даже похожего *.exe нет

    Что находится в этой C:\Users\Admin\AppData\Roaming\csflex38102013 папке?

    Это как я понял данный какой то проги.. (по работе), на сколько я понял, спрошу у знакомого, так как его ноут.
    А там че-то страшное ?

  15. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. Это понравилось:


  17. #12
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    145
    Вес репутации
    52
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте лог ComboFix
    Решил переустановить Windows, так будет лучше...

    Спасибо за помощь!

  18. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 63
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\progra~2\\locals~1\\temp\\ccanmo.exe - Trojan-Downloader.Win32.Andromeda.uhz ( DrWEB: BackDoor.Andromeda.178, BitDefender: Trojan.GenericKDV.949498, AVAST4: Win32:Kryptik-LLD [Trj] )
      2. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-121921\\inetb123.exe - Trojan-PSW.Win32.Tepfer.pkhp ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKDV.1182098, AVAST4: Win32:Kryptik-MRN [Trj] )
      3. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-22892\\s222h10.exe - Backdoor.Win32.Azbreg.vvu ( DrWEB: Trojan.Winlock.8811, BitDefender: Trojan.GenericKDV.1159134, AVAST4: Win32:Crypt-PTQ [Trj] )
      4. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81140\\sxshin1.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
      5. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81240\\sxshin1.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
      6. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81340\\sxshin3.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
      7. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81350\\sxshin4.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
      8. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-81650\\sxshin5.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
      9. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-86650\\sxshin6.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
      10. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87650\\sxshin7.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
      11. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87850\\sxshin8.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
      12. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87890\\sxshin9.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
      13. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-87892\\s1sh10.exe - Trojan-PSW.Win32.Tepfer.orld ( DrWEB: Trojan.Inject2.23, BitDefender: Trojan.GenericKDV.1157747, AVAST4: Win32:Injector-BID [Trj] )
      14. c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-92171\\dqklonee.exe - Trojan-PSW.Win32.Tepfer.qhql ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1214808, AVAST4: Win32:Dropper-NCF [Drp] )
      15. c:\\users\\admin\\appdata\\roaming\\screensaverpro .scr - Worm.Win32.Ngrbot.thu ( DrWEB: Trojan.Spambot.12316, BitDefender: Trojan.GenericKD.1219329, AVAST4: Win32:Crypt-PWO [Trj] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) forever, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Есть подозрительные файлы
      От Olejka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.10.2010, 16:49
    2. Кажется есть подозрительные файлы
      От fob в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.09.2010, 13:11
    3. Есть подозрительные обьекты
      От zhefran в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.05.2010, 15:53
    4. Есть ли еще подозрительные обьекты ?
      От MIO005 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.03.2010, 00:47
    5. Ответов: 2
      Последнее сообщение: 28.02.2010, 13:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01387 seconds with 19 queries