Показано с 1 по 10 из 10.

Словил баннер [Trojan-Ransom.Win32.Blocker.cvcw, Trojan-Ransom.Win32.Blocker.cuzr ] (заявка № 149721)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    17.11.2013
    Сообщений
    4
    Вес репутации
    15

    Словил баннер [Trojan-Ransom.Win32.Blocker.cvcw, Trojan-Ransom.Win32.Blocker.cuzr ]

    Здравствуйте. ВНЕЗАПНО, словил баннер. В автозапуске нашёл qhBibcwPmCuUuB.exe.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) 9gurikov, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы

    Отключите
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    ExecuteAVUpdate;
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\admin\AppData\Local\Temp\odqqh.exe','');
     QuarantineFile('C:\Users\admin\AppData\Local\Temp\lbhea.exe','');
     QuarantineFile('C:\Users\admin\AppData\Local\Temp\87.exe','');
     DeleteFile('C:\Users\admin\AppData\Local\Temp\lbhea.exe','32');
     DeleteFile('C:\Windows\Tasks\8ty9s.job','32');
     DeleteFile('C:\Windows\Tasks\as0ciix.job','32');
     DeleteFile('C:\Users\admin\AppData\Local\Temp\odqqh.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\8ty9s','32');
     DeleteFile('C:\Windows\system32\Tasks\as0ciix','32');
     DeleteFile('C:\Users\admin\appdata\local\temp\87.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Updater');   
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O4 - HKLM\..\Run: [Microsoft Updater] "C:\Users\admin\AppData\Local\Temp\87.exe"
    O9 - Extra button: (no name) - AutorunsDisabled - (no file)
    4. Сделайте повторные логи в обычном режиме по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    17.11.2013
    Сообщений
    4
    Вес репутации
    15
    Спасибо, помогло!
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    1. Hosts файл сами меняли?

    2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    17.11.2013
    Сообщений
    4
    Вес репутации
    15
    Да, вносил исключения в hosts
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные ключи в реестре:  3
    HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
    HKCR\Pesennik 3.2.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NewProduct 1.00 (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ꟪뙤꽥龡ꔥ祡㸟ᮌ瞡窜矑妃�㳨╻໌업ᆫ郂仧䞞긒炷氇歂⫗吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘캸夰갗ӑ斋�鴸뇘䔮إ쀶䒎啙춡豧䅯吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘㵓쪸ᮏ憱C㕣諅ꬓ吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘聼�舮Ԥ -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  1
    HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Плохо: (C:\$Recycle.Bin\S-1-5-18\$19a7ba3bdeb646c627edf203711938b7\n.) Хорошо: (fastprox.dll) -> Действие не было предпринято.
    
    Обнаруженные папки:  1
    C:\Program Files\Company\NewProduct (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M8O4DWKT\87[1].html (Trojan.Dropper.SBM) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\Uninstall.ini (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\1.txt (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\all2.vbs (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\all3.vbs (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\allr.bat (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\bat.bat (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\otstuk_id.txt (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\Uninstall.exe (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    Проверьте эти файлы на virustotal
    Код:
    D:\INSTALL\MULTIMEDIA\Alcohol 120% v2.0.0. 2031\Лекарство\AutoLoader_AxLaUn.exe
    D:\загрузки\winamp5622_full_emusic-7plus_ru-ru.exe
    D:\загрузки\DTLite4451-0236.exe
    D:\ProgramData\SoftonicDownloader_for_pdf-xchange-viewer.exe
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Запустите файл TDSSKiller.exe.
    3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
    4. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    8. Самостоятельно без указания консультанта ничего не удаляйте!!!
    9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    10. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    17.11.2013
    Сообщений
    4
    Вес репутации
    15

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Недостаточно так как вы удалили не все, то что я просил вас удалить.

    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные ключи в реестре:  3
    HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
    HKCR\Pesennik 3.2.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NewProduct 1.00 (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ꟪뙤꽥龡ꔥ祡㸟ᮌ瞡窜矑妃�㳨╻໌업ᆫ郂仧䞞긒炷氇歂⫗吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘캸夰갗ӑ斋�鴸뇘䔮إ쀶䒎啙춡豧䅯吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘㵓쪸ᮏ憱C㕣諅ꬓ吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘吥좃큹䉘聼�舮Ԥ -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  1
    HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Плохо: (C:\$Recycle.Bin\S-1-5-18\$19a7ba3bdeb646c627edf203711938b7\n.) Хорошо: (fastprox.dll) -> Действие не было предпринято.
    
    Обнаруженные папки:  1
    C:\Program Files\Company\NewProduct (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M8O4DWKT\87[1].html (Trojan.Dropper.SBM) -> Действие не было предпринято.
    D:\ProgramData\SoftonicDownloader_for_pdf-xchange-viewer.exe (PUP.Optional.Softonic.A) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\Uninstall.ini (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\1.txt (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\all2.vbs (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\all3.vbs (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\allr.bat (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\bat.bat (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\otstuk_id.txt (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\Uninstall.exe (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    Сделайте лог GMER
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\admin\\appdata\\local\\temp\\lbhea.exe - Trojan-Ransom.Win32.Blocker.cuzr ( BitDefender: Gen:Variant.Kazy.113826 )
      2. c:\\users\\admin\\appdata\\local\\temp\\87.exe - Trojan-Ransom.Win32.Blocker.cvcw ( BitDefender: Trojan.GenericKDV.1408217, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) 9gurikov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Друг словил баннер
      От Дмитрий Белый в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.05.2012, 09:32
    2. Словил баннер при просмотре сайтов
      От Dark_KRONOS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.03.2012, 17:19
    3. Словил СМС порно-баннер
      От Vladimir_XAH в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 24.04.2010, 07:25
    4. Словил баннер
      От MichaNICK в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 23.03.2010, 19:47
    5. Словил баннер Get Access
      От MichaNICK в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.01.2010, 18:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00740 seconds with 17 queries