Доброго времени суток.
Подхватил вирус.
Установил Dr.Web CureIT.
Trojan.MulDrop5.7250
500 зараженный вордовских документов.
У каждого разрешение - ехе.
Веб предлогает лечить, и в результате все удаляет.
Информация собиралась годами и очень ценна.
Ищу способ именно лечения.
Файл приложил.
Помогите.
Последний раз редактировалось regist; 21.09.2014 в 10:59.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) OmgEtoOem, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
1) Не надо прикреплять вирусы к сообщениям.
2) Сделайте логи по правилам: http://virusinfo.info/pravila.html
3) Прикреплённый вами файл вирус и никакого отношения к вордовскому документу не имеет, разве только что возможно имеет такое же имя. Так что позвольте вебу их удалить.
1) Не надо прикреплять вирусы к сообщениям.
2) Сделайте логи по правилам: http://virusinfo.info/pravila.html
3) Прикреплённый вами файл вирус и никакого отношения к вордовскому документу не имеет, разве только что возможно имеет такое же имя. Так что позвольте вебу их удалить.
А что это? куда тогда делись сами документы? если это не он?!
У меня все док-ты стали ехе файлами. Некоторые из них открываются пустыми, не которые с информацией. Открываются именно вордом.
Вот что происходит после открытия: Создает следующие файлы:
C:\Documents and Settings\Default User\Templates\winword2.exe
%HOMEPATH%\Templates\winword.exe
%HOMEPATH%\Templates\winword2.exe
C:\Documents and Settings\Default User\Templates\winword.exe
%WINDIR%\file1.exe
%WINDIR%\brow.exe
<Текущая директория>\temperrr.doc
Присваивает атрибут 'скрытый' для следующих файлов:
Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.
Пожалуйста, обновите базы и сделайте новые логи.
и доктор вебом всё-таки пролечите перед этим систему.
и доктор вебом всё-таки пролечите перед этим систему.
Базу AVZ обновил, вот новые логи. Dr.Web Cureit не нашел вирусов при полном сканировании.
Если отдельно сканировать данные папки с моим документами, выдает что все файлы инфицированы трояном.
При выборе лечения, он их удаляет.
Самый главный вопрос который меня интересует. Можно как-нибудь эти инфицированные документы вылечить не удаляя.
virusinfo_autoquarantine.zip загрузите по ссылке Прислать запрошенный карантин вверху темы.
Сообщение от OmgEtoOem
Можно как-нибудь эти инфицированные документы вылечить не удаляя.
ещё раз повторяю это вирус с названием ваших документов. В этих файлах ваших документов нет. Так что позвольте доктору их удалить. После этого
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM[/URL].
- - - - -Добавлено - - - - -
а ваши настоящие вордовские документы скорее всего лежат рядом с атрибутом скрытый.
По вашему как объяснить тот факт, что эти сами файлы-вирусы открываются с информацией??????
Да и по поводу добавленного... первым делом показывает скрытые файлы!!!
Делаю дальше по инструкции...
- - - - -Добавлено - - - - -
Вот лог с сканирования программой Malwarebytes Anti-malware.
По вашему как объяснить тот факт, что эти сами файлы-вирусы открываются с информацией??????
не они открываются с информацией, а они через командную строку запускают ворд который уже видно открывает ваш файл (в том семпле который вы прислали до этого открывался просто шаблон
Обнаруженные ключи в реестре: 10
HKCR\CLSID\{7D1B27B2-3DE0-4F26-94A0-E14FDB06D292} (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
HKCR\TypeLib\{F32C616B-19B1-4978-919B-ACB52B51CAA5} (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
HKCR\Interface\{CCE39B30-B61A-4569-9411-43747C6C481F} (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7D1B27B2-3DE0-4F26-94A0-E14FDB06D292} (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
HKCR\Typelib\{F126C9FC-9299-40F2-BD42-C59023AD1E7F} (PUP.Optional.GetNow.A) -> Действие не было предпринято.
HKCR\Interface\{237FDFDB-3722-470E-8BA8-90196DABE967} (PUP.Optional.GetNow.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.
HKLM\SOFTWARE\SearchSnacks (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\ssnfd (PUP.Optional.SearchSnacks) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchSnacks (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
Обнаруженные папки: 7
C:\Users\kodi.irk\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\kodi.irk\AppData\Roaming\OpenCandy\5A18E65DE0E64AFABA505C82D267638B (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\kodi.irk\AppData\Roaming\OpenCandy\OpenCandy_5A18E65DE0E64AFABA505C82D267638B (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files\SearchSnacks (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\3rd Party Licenses (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\IE (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\Service (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
D:\Users\Ashley\Downloads\slushatel-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
D:\Users\Ashley\Downloads\SoftonicDownloader_for_speedfan.exe (PUP.Optional.Softonic.A) -> Действие не было предпринято.
C:\Users\kodi.irk\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage (PUP.Optional.Superfish.A) -> Действие не было предпринято.
C:\Users\kodi.irk\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage-journal (PUP.Optional.Superfish.A) -> Действие не было предпринято.
C:\Users\kodi.irk\AppData\Roaming\OpenCandy\5A18E65DE0E64AFABA505C82D267638B\SkypeSetupFull-6.18.0.106.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\terms-of-service.rtf (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\Uninstall.exe (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\3rd Party Licenses\buildcrx-license.txt (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\3rd Party Licenses\Info-ZIP-license.txt (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\3rd Party Licenses\nsJSON-license.txt (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\3rd Party Licenses\UAC-license.txt (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
не они открываются с информацией, а они через командную строку запускают ворд который уже видно открывает ваш файл (в том семпле который вы прислали до этого открывался просто шаблон
Обнаруженные ключи в реестре: 10
HKCR\CLSID\{7D1B27B2-3DE0-4F26-94A0-E14FDB06D292} (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
HKCR\TypeLib\{F32C616B-19B1-4978-919B-ACB52B51CAA5} (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
HKCR\Interface\{CCE39B30-B61A-4569-9411-43747C6C481F} (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7D1B27B2-3DE0-4F26-94A0-E14FDB06D292} (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
HKCR\Typelib\{F126C9FC-9299-40F2-BD42-C59023AD1E7F} (PUP.Optional.GetNow.A) -> Действие не было предпринято.
HKCR\Interface\{237FDFDB-3722-470E-8BA8-90196DABE967} (PUP.Optional.GetNow.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.
HKLM\SOFTWARE\SearchSnacks (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\ssnfd (PUP.Optional.SearchSnacks) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchSnacks (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
Обнаруженные папки: 7
C:\Users\kodi.irk\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\kodi.irk\AppData\Roaming\OpenCandy\5A18E65DE0E64AFABA505C82D267638B (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\kodi.irk\AppData\Roaming\OpenCandy\OpenCandy_5A18E65DE0E64AFABA505C82D267638B (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files\SearchSnacks (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\3rd Party Licenses (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\IE (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\Service (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
D:\Users\Ashley\Downloads\slushatel-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
D:\Users\Ashley\Downloads\SoftonicDownloader_for_speedfan.exe (PUP.Optional.Softonic.A) -> Действие не было предпринято.
C:\Users\kodi.irk\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage (PUP.Optional.Superfish.A) -> Действие не было предпринято.
C:\Users\kodi.irk\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage-journal (PUP.Optional.Superfish.A) -> Действие не было предпринято.
C:\Users\kodi.irk\AppData\Roaming\OpenCandy\5A18E65DE0E64AFABA505C82D267638B\SkypeSetupFull-6.18.0.106.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\terms-of-service.rtf (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\Uninstall.exe (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\3rd Party Licenses\buildcrx-license.txt (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\3rd Party Licenses\Info-ZIP-license.txt (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\3rd Party Licenses\nsJSON-license.txt (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
C:\Program Files\SearchSnacks\3rd Party Licenses\UAC-license.txt (PUP.Optional.SearchSnacks.A) -> Действие не было предпринято.
Если я правильно понял, мне надо через AVZ выполнить скрипт.
Получился архив весом в 1.7 мб. Загрузчик не пропускает такой объем.
И про архивацию:
+ Заархивируйте
Код:
C:\Users\kodi.irk\Downloads\HideToolz\HideToolz\Hi deToolz.exe
D:\Windows\System32\Macromed\Flash\FlashUtil64_12_ 0_0_38_ActiveX.exe
в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
Как прислать подозрительные файлы из карантина MBAM
Если Вас попросят, прислать подозрительные файлы из карантина Malwarebyte's Antimalware, выполните в AVZ(AVPTool/KIS/KAV) следующий скрипт:
Код:
begin
QuarantineFileF('%appdata%\Malwarebytes\Malwar~1\Q uarantine', '*.quar', false, '', 0, 0);
CreateQurantineArchive(GetAVZDirectory+'mbam_quara ntine.zip');
end.
В каталоге AVZ образуется архив mbam_quarantine.zip. Пришлите его по правилам.
Не прикрепляйте карантин к Вашему сообщению, пользуйтесь исключительно формой закачки!!!
В MBAM удалили всё? Вебом поудаляли эти .exe от вируса?
Свежий лог MBAM сделайте.
Вебом удалил.
в МВАМ не удалял ничего.
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
- - - - -Добавлено - - - - -
Что нужно сделать? Поновой скан в МВАМ? и удалить все?
Уважаемый(ая) OmgEtoOem, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: