Показано с 1 по 12 из 12.

Advanced System Protector [Trojan.Win32.Inject.gubq, Trojan-Proxy.Win32.Lethic.blc ] (заявка № 151489)

  1. #1
    Student (P) Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2008
    Сообщений
    140
    Вес репутации
    38

    Advanced System Protector [Trojan.Win32.Inject.gubq, Trojan-Proxy.Win32.Lethic.blc ]

    добрый день, в операционной системе присутствует программа Advanced System Protector. удалить через Установку/Удаление программ не выходит. Логи прилагаю.
    Последний раз редактировалось ignis; 13.12.2013 в 15:05.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) ignis, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Выполните в АВЗ:
    Код:
    begin
     ClearQuarantine;
     TerminateProcessByName('c:\users\darty\appdata\roaming\cacaoweb\cacaoweb.exe');
     TerminateProcessByName('c:\users\darty\appdata\roaming\systweak\traysystweak.exe');
     TerminateProcessByName('c:\programdata\activeu0\rpeulaaql.exe');
     TerminateProcessByName('c:\windows\installer\{897a2ea5-c06c-8931-2c0b-584e0bebcd99}\syshost.exe');
     TerminateProcessByName('c:\programdata\esafe\egdpsvc.exe');
     TerminateProcessByName('c:\progra~3\dxgtgwoe.exe');
     SetServiceStart('WsysSvc', 4);
     SetServiceStart('syshost32', 4);
     StopService('WsysSvc');
     StopService('syshost32');
     QuarantineFile('C:\RECYCLER\wivsys.exe','');
     QuarantineFile('C:\Program Files (x86)\VisualBee\VisualBee-enabler.exe','');
     QuarantineFile('c:\users\darty\dxzluufz.exe','');
     QuarantineFile('C:\Users\darty\voqikanmujam.exe','');
     QuarantineFile('C:\Users\darty\AppData\Roaming\svchost.exe','');
     QuarantineFile('C:\Users\darty\AppData\Roaming\rundll32.exe','');
     QuarantineFile('C:\Users\darty\AppData\Roaming\ieTnd\ltc.exe','');
     QuarantineFile('C:\Users\darty\AppData\Roaming\csrss.exe','');
     QuarantineFile('C:\Users\darty\AppData\Roaming\cacaoweb\cacaoweb.exe','');
     QuarantineFile('C:\Users\darty\AppData\Roaming\WinSecure32.exe','');
     QuarantineFile('C:\Users\darty\AppData\Roaming\ScreenSaverPro.scr','');
     QuarantineFile('C:\Users\darty\AppData\Roaming\Microsoft\Ycmgme.exe','');
     QuarantineFile('C:\Users\darty\AppData\Roaming\Identities\Vcmgmb.exe','');
     QuarantineFile('C:\Users\darty\AppData\Roaming\Identities\Jcmgmp.exe','');
     QuarantineFile('C:\Users\darty\AppData\Local\Temp\windows\winsys.exe','');
     QuarantineFile('C:\Users\darty\AppData\Local\Temp\Adobe\Reader_sl.exe','');
     QuarantineFile('C:\RECYCLER\winmode.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12986119\sjdbpro61.exe','');
     QuarantineFile('C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe','');
     QuarantineFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','');
     QuarantineFile('c:\users\darty\appdata\roaming\systweak\traysystweak.exe','');
     QuarantineFile('c:\programdata\activeu0\rpeulaaql.exe','');
     QuarantineFile('c:\windows\installer\{897a2ea5-c06c-8931-2c0b-584e0bebcd99}\syshost.exe','');
     QuarantineFile('c:\programdata\esafe\egdpsvc.exe','');
     QuarantineFile('c:\progra~3\dxgtgwoe.exe','');
     DeleteFile('c:\progra~3\dxgtgwoe.exe','32');
     DeleteFile('c:\programdata\activeu0\rpeulaaql.exe','32');
     DeleteFile('C:\Windows\Installer\{897A2EA5-C06C-8931-2C0B-584E0BEBCD99}\syshost.exe','32');
     DeleteFile('C:\ProgramData\eSafe\eGdpSvc.exe','32');
     DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
     DeleteFile('C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe','32');
     DeleteFile('C:\Users\darty\AppData\Local\Temp\016971~1.EXE','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12986119\sjdbpro61.exe','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','32');
     DeleteFile('C:\RECYCLER\winmode.exe','32');
     DeleteFile('C:\RECYCLER\wivsys.exe','32');
     DeleteFile('C:\Users\darty\AppData\Local\Temp\windows\winsys.exe','32');
     DeleteFile('C:\Users\darty\AppData\Roaming\Identities\Jcmgmp.exe','32');
     DeleteFile('C:\Users\darty\AppData\Roaming\Identities\Vcmgmb.exe','32');
     DeleteFile('C:\Users\darty\AppData\Roaming\Microsoft\Ycmgme.exe','32');
     DeleteFile('C:\Users\darty\AppData\Roaming\ScreenSaverPro.scr','32');
     DeleteFile('C:\Users\darty\AppData\Roaming\Systweak\traySystweak.exe','32');
     DeleteFile('C:\Users\darty\AppData\Roaming\WinSecure32.exe','32');
     DeleteFile('C:\Users\darty\AppData\Roaming\csrss.exe','32');
     DeleteFile('C:\Users\darty\AppData\Roaming\ieTnd\ltc.exe','32');
     DeleteFile('C:\Users\darty\AppData\Roaming\rundll32.exe','32');
     DeleteFile('C:\Users\darty\AppData\Roaming\svchost.exe','32');
     DeleteFile('C:\Users\darty\voqikanmujam.exe','32');
     DeleteFile('c:\users\darty\dxzluufz.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64');
     DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64');
     DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineCore.job','64');
     DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineUA.job','64');
     DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_DEFAULT.job','64');
     DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_UPDATES.job','64');
     DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
     DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
     DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64');
     DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineCore','64');
     DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineUA','64');
     DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_DEFAULT','64');
     DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_UPDATES','64');
     DeleteFile('C:\Windows\system32\Tasks\VisualBee-codedownloader','64');
     DeleteFile('C:\Windows\system32\Tasks\VisualBee-enabler','64');
     DeleteFile('C:\Windows\system32\Tasks\VisualBee-updater','64');
     DeleteFile('C:\Program Files (x86)\VisualBee\VisualBee-enabler.exe','32');
     DeleteFile('C:\Users\darty\appdata\local\temp\adobe\reader_sl.exe','32');
     DeleteFile('c:\users\darty\appdata\roaming\cacaoweb\cacaoweb.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sjdbpro1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t0r1allsvu');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Mode Recovery');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Firewall Management');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Service');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jcmgmp');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vcmgmb');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ycmgme');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{494A267D-87AB-8B02-E32B-53F588D4089A}');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Security');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cacaoweb');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Process');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Service');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Host-process Windows (Rundll32.exe)');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Service Host Process for Windows');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','voqikanmujam');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','46644');
     DeleteService('dqupdatem');
     DeleteService('dqupdate');
     DeleteService('bonanzadealslivem');
     DeleteService('bonanzadealslive');
     DeleteService('0169711386854185mcinstcleanup');
     DeleteService('WsysSvc');
     DeleteService('syshost32');
     DeleteFileMask('c:\programdata\esafe','*',true);
     DeleteFileMask('c:\programdata\activeu0','*',true);
     DeleteFileMask('C:\Program Files (x86)\BonanzaDealsLive','*',true);
     DeleteFileMask('C:\Program Files (x86)\Duuqu','*',true);
     DeleteFileMask('C:\Users\darty\AppData\Roaming\Identities','*',true);
     DeleteFileMask('C:\Users\darty\AppData\Roaming\Microsoft','*',true);
     DeleteFileMask('C:\Users\darty\AppData\Roaming\Systweak','*',true);
     DeleteFileMask('C:\Users\darty\AppData\Roaming\cacaoweb','*',true);
     DeleteFileMask('C:\Users\darty\AppData\Roaming\ieTnd','*',true);
     DeleteFileMask('C:\Program Files (x86)\VisualBee','*',true);
     DeleteDirectory('c:\programdata\esafe');
     DeleteDirectory('c:\programdata\activeu0');
     DeleteDirectory('C:\Program Files (x86)\BonanzaDealsLive');
     DeleteDirectory('C:\Program Files (x86)\Duuqu');
     DeleteDirectory('C:\Users\darty\AppData\Roaming\Identities');
     DeleteDirectory('C:\Users\darty\AppData\Roaming\Microsoft');
     DeleteDirectory('C:\Users\darty\AppData\Roaming\Systweak');
     DeleteDirectory('C:\Users\darty\AppData\Roaming\cacaoweb');
     DeleteDirectory('C:\Users\darty\AppData\Roaming\ieTnd');
     DeleteDirectory('C:\Program Files (x86)\VisualBee');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(9);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте лог полного сканирования MBAM.


  5. Это понравилось:


  6. #4
    Student (P) Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2008
    Сообщений
    140
    Вес репутации
    38
    карантин прислал. Лог сделал.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Удалите в MBAM всё.

    - Повторите логи virusinfo_syscheck.zip и hijackthis.log.


  8. #6
    Student (P) Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2008
    Сообщений
    140
    Вес репутации
    38
    готово, логи сделал.

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Выполните в АВЗ:
    Код:
    begin
     DeleteFile('C:\Users\darty\AppData\Roaming\Identities\Jcmgmp.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jcmgmp');
     RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc');
    DeleteFileMask('C:\Users\darty\AppData\Roaming\Identities','*',true);
    DeleteDirectory('C:\Users\darty\AppData\Roaming\Identities');
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    - Повторите логи virusinfo_syscheck.zip и hijackthis.log.


  10. #8
    Student (P) Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2008
    Сообщений
    140
    Вес репутации
    38
    готово

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    - Выполните в АВЗ:
    Код:
    begin
     QuarantineFile('C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe','');
     DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineCore.job','64');
     DeleteFile('C:\Windows\system32\Tasks\DuuquUpdateTaskMachineUA.job','64');
     DeleteFile('C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe','32');
    DeleteFileMask('C:\Program Files (x86)\Duuqu','*',true);
    DeleteDirectory('C:\Program Files (x86)\Duuqu');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Повторите логи virusinfo_syscheck.zip и hijackthis.log.

    Что с проблемами?


  12. #10
    Student (P) Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.09.2008
    Сообщений
    140
    Вес репутации
    38
    Проблем не наблюдаю, по крайней мере ПК не висит, как было перед лечением, и Advanced System Protector удалил без проблем. спасибо! карантин не высылал, т.к. в архив пустой.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Из назначенных заданий нужно удалить:
    Код:
    DuuquUpdateTaskMachineCore.job
    DuuquUpdateTaskMachineUA.job


  14. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\programdata\activeu0\rpeulaaql.exe - Trojan.Win32.Neurevt.lw ( BitDefender: Gen:Variant.Zusy.73060, AVAST4: Win32:Dropper-gen [Drp] )
      2. c:\progra~3\dxgtgwoe.exe - Trojan-PSW.Win32.Tepfer.srtr ( BitDefender: Trojan.Encpk.Gen.4, AVAST4: Sf:Bancos-D [Trj] )
      3. c:\recycler\s-1-5-21-0243556031-888888379-781863308-12986119\sjdbpro61.exe - Trojan-Proxy.Win32.Lethic.blc ( BitDefender: Gen:Variant.Graftor.123098, AVAST4: Win32:Crypt-QFL [Trj] )
      4. c:\recycler\winmode.exe - Trojan.Win32.Inject.gubq ( BitDefender: Gen:Malware.Heur.fm0@b0NJTOii, AVAST4: Win32:Malware-gen )
      5. c:\recycler\wivsys.exe - Trojan-Dropper.Win32.Sysn.aakd ( BitDefender: Gen:Malware.Heur.fm0@b00yVJmi, AVAST4: Win32:Malware-gen )
      6. c:\users\darty\appdata\local\temp\windows\winsys.e xe - Trojan-Dropper.Win32.Sysn.aakd ( BitDefender: Gen:Trojan.Heur.ZGY.5, AVAST4: Win32:Malware-gen )
      7. c:\users\darty\appdata\roaming\identities\jcmgmp.e xe - Worm.Win32.Ngrbot.wtx ( BitDefender: Gen:Variant.Kazy.307233, AVAST4: Win32:Crypt-QHD [Trj] )
      8. c:\users\darty\appdata\roaming\ietnd\ltc.exe - Trojan.Win32.Agent.adces ( BitDefender: Gen:Variant.Kazy.158415, AVAST4: Win32:BitCoinMiner-EW [Trj] )
      9. c:\users\darty\appdata\roaming\systweak\traysystwe ak.exe - Trojan.Win32.Inject.gqnx ( BitDefender: Gen:Variant.Zusy.73060, AVAST4: Win32:Dropper-gen [Drp] )
      10. c:\windows\installer\{897a2ea5-c06c-8931-2c0b-584e0bebcd99}\syshost.exe - Trojan-Dropper.Win32.Necurs.spi ( BitDefender: Trojan.GenericKD.1451888 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) ignis, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Advanced Uninstaller PRO
      От Matias в разделе Софт - общий
      Ответов: 1
      Последнее сообщение: 02.09.2012, 21:25
    2. Advanced antivirus remover
      От Tox78 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.08.2009, 12:03
    3. Yor system is infected+Advanced antivirus!!!
      От Gabidz в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 25.07.2009, 12:02
    4. Advanced Registry Tracer
      От Algris в разделе Софт - общий
      Ответов: 0
      Последнее сообщение: 16.07.2005, 00:55

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00273 seconds with 16 queries