Новая тема по заявке № 162418 [HEUR:Trojan.Win32.Generic
]
Создал новую тему. Старая - http://virusinfo.info/showthread.php?t=162418
Логи - https://yadi.sk/d/rIiYa89GVy3zf
O4 - S-1-5-18 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
Эти строчки HiJackThis не вычищает (точнее при повторном сканировании они снова появляются)
Карантин выслал
Файл сохранён как 140705_090613_quarantine_53b7c005010a1.zip
Размер файла 6449
MD5 7d6722b3dfd00a0fc2757ea2f06eec66
Согласно третьему сообщению предыдущей темы, MBAM (с обновлёнными базами) запускаю только сканировать, ничего самостоятельно не удаляю (вдруг что-то удалённое попросите в карантине прислать).
Последний раз редактировалось Ge_from_Dou; 05.07.2014 в 13:39.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Ge_from_Dou, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
согласно 7-му ответу для другого компьютера. А судя по содержанию первого поста вы продолжает отвечать на посты из той темы и ещё-что то пытаетесь удалять, присылаете какой-то карантин. Это карантин с какой системы? Кто и где его просил? В итоге каша.
Если это другая система, то делайте полный набор логов по правилам и прикрепите их через вложения.
В общем отчеты старые удалили по которым хоть как-то можно понять какой компьютер в какой теме. Образовалась каша из логов. Все отчеты загружайте на форум!
М-да... Моя вина. Не подумал. В общем старые логи - чёрт с ними (снести винду и форматнуть диск). Файлы, указанные в начале темы - логи с новой (всё выполнено согласно инструкциям из сообщения 9 предыдущей темы).
quarantine.zip высылаю ссылкой "прислать запрошенный карантин". На форуме выкладывать логи - прикреплять к сообщению?
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ExecuteAVUpdate;
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
DeleteFile('C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
ExecuteSysClean;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O4 - S-1-5-18 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
В MBAM удалите:
Код:
Обнаруженные ключи в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Dropper) -> Действие не было предпринято.
Обнаруженные файлы: 76
C:\Documents and Settings\Admin\Рабочий стол\111.exe (Trojan.FileLock) -> Действие не было предпринято.
C:\System Volume Information\_restore{E0E0B3C2-D275-48FE-AA51-6D185CB1D5A0}\RP322\A0044961.exe (Trojan.FileLock) -> Действие не было предпринято.
D:\1\avz4\Quarantine\2014-07-03\avz00001.dta (Trojan.FileLock) -> Действие не было предпринято.
D:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\45OJW34Z\updater-startnow-200-2.5-d[1].exe (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
D:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\IRMVO3M3\d[1].exe (Trojan.Agent) -> Действие не было предпринято.
D:\Documents and Settings\КРОНОС\Application Data\rambler\holdem\{D9527E5B-427D-450F-9FDF-351C08163520}\7.0.75.0\holdem.msi (PUP.Optional.Rambler.A) -> Действие не было предпринято.
D:\Program Files\StartNow Toolbar\ToolbarUpdaterService.exe (PUP.Optional.SweetPacks.A) -> Действие не было предпринято.
Обновите базы MBAM и сделайте лог быстрого сканирования.
Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: