Здравствуйте. Поймал троян, который создает постоянно файл, как в заголовке, он не дает в обычном режиме загрузки виндовса работать ни одному приложению (они просто не запускаются), в автозагрузку добавились две новых "программы" : rbgiypzyt и xKNpEM5EPhI, пробовал чистить реестр - после перезагрузки опять появляются. Проверка утилитами без установки от : др. веба не дала ничего, каспер находит, но не может удалить. Проверку программами AVZ и hj делал в безопасном режиме.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) bgd, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Common Files\treasure0\rbgiypzyt.exe',''); DeleteFile('C:\Program Files\Common Files\treasure0\rbgiypzyt.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','treasure'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(9); RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вложение 440920
Вложение 440919
Вложение 440918
Есть прогресс: компьютер уже работает в нормальном режиме(не безопасном), но нод еще не запускается, в автозагрузке пока те-же вредные проги.
Запрошенный карантин сделал. Новые логи прилагаю.
Не вижу...Сообщение от bgd
Обновите базы AVZ ("Файл" -> "Обновление баз") и переделайте логи.
WBR,
Vadim
Поправочка: в автозагрузке осталась только xKNpEM5EPhI, но она не активна/без галочки. Компьютер еще не хочет перезагружаться сам, только с кнопка, все закрывается пустой рабочий стол и висит. Ну и с нодом что-то, тоже не хочет включаться, пишет повторная установка исправит.
Вложение 440928
Вложение 440929
WBR,
Vadim
Готово.
Вложение 440935
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\296A.TMP zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\1339.TMP ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\296A.TMP addsgn 1A0F8965AA598C225B84FE59FBF81205E6DCAB7DF5DE13F374480A356E3EFEE7DCE84A1136DCCB45A007A0934616C0BC6D8063B40B18B42CA6B62F274C563248 24 BackDoor.IRC.Cirilico.119 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\KHXYNJHVMKJ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\KHXYNJHVMKJ.EXE ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\1339.TMP ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\2BA9.TMP ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\D6A.TMP chklst delvir exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216039FF} deltmp restart
Уведомление
Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите Java 6 Update 45 - версия, совместима с банк- клиентами. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
WBR,
Vadim
В папке uVS архива не появилось, поэтому я заархивировал папку ZOO, и приложил.
Логи ТДС (почему-то получилось 2) :
Вложение 440956
Вложение 440955
И интересная штука, у фаерфокса почемуто отвалилось графическое содержание сайтов(только текс остался).
Очистите кэш и cookies-файлы браузеров.
Что с проблемой?
WBR,
Vadim
С фаерфоксом все нормально стало. Из реестра удалил последнюю запись с xKNpEM5EPhI. Вродебы все работает кроме Нода, пишет "приложение небыло запущено поскольку некорректно настроено". Можно это както пофиксить без переустановки ?
Боюсь, попортил вирус Nod32.
Сделайте лог полного сканирования МВАМ.
WBR,
Vadim
Удалите в MBAM всё, кроме:Код:C:\Documents and Settings\ADMIN\Рабочий стол\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято. C:\Documents and Settings\roma\Рабочий стол\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.C:\Program Files\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.Уведомление
Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.
Пробуйте переустановить Nod32.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- \\zoo\\khxynjhvmkj.exe._03ad2b0d7ae529f0770d0ec9ab dc28163120fb4f - Trojan.Win32.Badur.atbu ( BitDefender: Trojan.VIZ.Gen.1, AVAST4: Win32:Kryptik-NBB [Trj] )
- \\zoo\\1339.tmp._db3977c8e4dd43fb353846aef535858ec 78f4680 - not-a-virus:RiskTool.Win32.HideExec.ai
- \\zoo\\296a.tmp._b55c8e8fa50d27f2852ee730b30195a72 707d675 - not-a-virus:RiskTool.Win32.HideExec.ai
Уважаемый(ая) bgd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
