Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Вирус блокирует доступ к анти вирусным сайтам [Trojan-Dropper.Win32.Injector.jgbl ] (заявка № 155806)

  1. #1
    Junior Member Репутация
    Регистрация
    28.01.2009
    Адрес
    Russia
    Сообщений
    134
    Вес репутации
    33

    Вирус блокирует доступ к анти вирусным сайтам [Trojan-Dropper.Win32.Injector.jgbl ]

    Добрый день!
    На компьютере следующие симптомы:
    -Заражаются флешки - вирус прячет "здаровые" файлы, вместо них подсовывает левые ярлыки
    -нет доступа к антивирусным сайтам, в т.ч. к ViruInfo

    Прилагаю логи по правилам.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Ilya2009, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,328
    Вес репутации
    1028
    Здравствуйте!

    Закройте все программы

    Отключите
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\Users\Natalya\AppData\Roaming\Kkeqea.exe','');
     QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\ccwzwaz.com','');
     DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\ccwzwaz.com','32');
     DeleteFile('C:\Users\Natalya\AppData\Roaming\Kkeqea.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','55401');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kkeqea');  
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
     ExecuteRepair(3);    
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O4 - HKCU\..\Run: [Kkeqea] C:\Users\Natalya\AppData\Roaming\Kkeqea.exe
    O4 - HKLM\..\Policies\Explorer\Run: [55401] C:\PROGRA~2\LOCALS~1\Temp\ccwzwaz.com
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    28.01.2009
    Адрес
    Russia
    Сообщений
    134
    Вес репутации
    33
    Карантин отправил. Лог MBAM приложу чуть позже, по окончанию сканирования.

    Файл сохранён как 140225_190911_quarantine_530cea57ab3f7.zip
    Размер файла 166625
    MD5 2ba1fdc1368ff6e864eaf7ed55aefd15

    - - - Добавлено - - -

    Лог MBAM

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    1) Папку
    Код:
    C:\avz4\avz4\Quarantine\
    удалите вручную

    2)
    Код:
    C:\ATI\Catalyst.exe
    Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    3) Удалите в MBAM всё кроме

    Код:
    C:\ATI\Catalyst.exe (Trojan.Email.Bot) -> Действие не было предпринято.
    C:\Program Files\ABBYY FineReader 11\11.0.102.583.CE.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
    C:\Users\Natalya\YandexDisk\mini-KMS_Activator_v1.072_RU.exe (PUP.Hacktool) -> Действие не было предпринято.
    D:\Soft\mini-KMS_Activator_v1.054_RUS.exe (Riskware.Crk) -> Действие не было предпринято.
    D:\РУБИКОН\Tipa_TopFF_SETUP.exe (PUP.Optional.Conduit) -> Действие не было предпринято.
    4) Просканируйте заново и прикрепите новый лог сканирования MBAM.

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    28.01.2009
    Адрес
    Russia
    Сообщений
    134
    Вес репутации
    33
    Закачал файл C:\ATI\Catalyst.exe.

    Файл сохранён как 140226_174918_Catalyst_530e291e191f5.zip
    Размер файла 173780
    MD5 6612877eb151a17aa047972f95b87141
    Файл в архиве, т.к. на машине с которой его отправлял Каспреский находит вирус.
    пароль на архив - 111

    - - - Добавлено - - -

    Новый лог MBAM

    - - - Добавлено - - -

    Сайты антивирусных программ так же не грузятся.
    С уважением, Илья

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Цитата Сообщение от Ilya2009 Посмотреть сообщение
    Файл в архиве, т.к. на машине с которой его отправлял Каспреский находит вирус.
    пароль на архив - 111
    если бы сделали так как написано в правилах, то он автоматически поместился бы в архив с паролем "virus", а так автоматический анализатор не смог его распаковать. Пришлось перепаковывать.

    Код:
    C:\ATI\Catalyst.exe
    удалите, можно вручную.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    28.01.2009
    Адрес
    Russia
    Сообщений
    134
    Вес репутации
    33
    Прилагаю свежие логи по правилам.
    С уважением, Илья

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
    ClearQuarantineEx(true);
     DeleteFile('C:\ATI\Catalyst.exe ');
     QuarantineFileF('C:\ATI\','*', true,'',0 ,0);
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     ExecuteSysClean;
    end.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    и отпишитесь, что с проблемой?

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    28.01.2009
    Адрес
    Russia
    Сообщений
    134
    Вес репутации
    33
    Проблема осталась. Выше вы писали удалить файл C:\ATI\Catalyst.exe. Он удален. Если надо я могу закачать его повторно.

    - - - Добавлено - - -

    Файл C:\ATI\Catalyst.exe загружен.

    Файл сохранён как 140226_211827_Virus_530e5a23a4137.zip
    Размер файла 179151
    MD5 69ee6eb26b61da6231b2d0e67325b6ae
    С уважением, Илья

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Цитата Сообщение от Ilya2009 Посмотреть сообщение
    Проблема осталась. Выше вы писали удалить файл C:\ATI\Catalyst.exe. Он удален.
    в логе остался, поэтому решил продублировать скриптом.
    В папке C:\ATI\ что-нибудь осталось? Она должна была скриптом заархивироваться в архив quarantine.zip нужно остальное содержимое этой папки.
    Либо заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

    - - - Добавлено - - -

    + Сделайте лог ComboFix

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    28.01.2009
    Адрес
    Russia
    Сообщений
    134
    Вес репутации
    33
    в логе остался, поэтому решил продублировать скриптом.
    В папке C:\ATI\ что-нибудь осталось? Она должна была скриптом заархивироваться в архив quarantine.zip нужно остальное содержимое этой папки.
    Папка пуста. Файл Catalist.exe я удалил сразу после Вашего сообщения.

    Лог Combofix прилагаю.
    С уважением, Илья

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Цитата Сообщение от Ilya2009 Посмотреть сообщение
    Папка пуста.
    папку тогда тоже удалите.

    улучшения после Combofix-а есть ?

  20. #14
    Junior Member Репутация
    Регистрация
    28.01.2009
    Адрес
    Russia
    Сообщений
    134
    Вес репутации
    33
    Антивирусные сайты в т.ч. virusinfo.info по прежнему не открываются. Других симптомов не наблюдаю.
    С уважением, Илья

  21. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,328
    Вес репутации
    1028
    Попробуйте переустановить сетевой драйвер.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  22. Это понравилось:


  23. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    Сделайте полный образ автозапуска uVS только программу скачайте отсюда

    + Скачайте отсюда Оперу и проверьте будет ли в ней эта проблема.

  24. Это понравилось:


  25. #17
    Junior Member Репутация
    Регистрация
    28.01.2009
    Адрес
    Russia
    Сообщений
    134
    Вес репутации
    33
    Хорошо, проверю все варианты. И в воскресенье отпишу результат.
    С уважением, Илья

  26. #18
    Junior Member Репутация
    Регистрация
    28.01.2009
    Адрес
    Russia
    Сообщений
    134
    Вес репутации
    33
    Все нормально. Проблема решена. Помог пункт 20 восстановление системы в AVZ удаление статических маршрутов.
    Большое спасибо! Тему можно закрывать.
    С уважением, Илья

  27. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,434
    Вес репутации
    730
    MBAM деинсталируйте.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  28. #20
    Junior Member Репутация
    Регистрация
    28.01.2009
    Адрес
    Russia
    Сообщений
    134
    Вес репутации
    33
    Спасибо! Я уже создал профиль с ограниченными возможностями. И теперь пользователь не работает под администратором.
    С уважением, Илья

  • Уважаемый(ая) Ilya2009, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 21.07.2013, 18:06
    2. Вирус блокирует доступ к сайтам
      От =Борис= в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.07.2012, 06:49
    3. Ответов: 8
      Последнее сообщение: 09.11.2010, 12:40
    4. Вирус блокирует доступ к сайтам
      От Clover в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.06.2010, 14:47

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00085 seconds with 16 queries