Показано с 1 по 12 из 12.

Амиго, Одноклассники и прочее [Trojan-Downloader.Win32.Adload.idfj ] (заявка № 193643)

  1. #1
    Junior Member Репутация
    Регистрация
    18.10.2012
    Сообщений
    27
    Вес репутации
    19

    Амиго, Одноклассники и прочее [Trojan-Downloader.Win32.Adload.idfj ]

    Добрый день. Имели неосторожность скачать архив якобы с книгой, но файл был исполняемым. После нажатия на него, установилась туча приложений таких как амиго одноклассники вконтакте бар, яндекс бар, обновление драйверов и прочий мусорный софт. Все отлично удаляется, но через сутки автоматически все появляется. Как будто где то сидит загрузчик и по расписанию все ставит.Ко всему еще появилась реклама на любых сайтах и в гугле в поиске первые три ссылки рекламные, а потом нормальные. Надеюсь объяснил понятно, очень прошу помощи вашей доблесной команды) Windows 7 64bit поэтому прикрепляю 2 файла(если я правильно все понял). С уважением.
    Вложения Вложения
    Последний раз редактировалось unscored; 30.11.2015 в 10:55.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,462
    Вес репутации
    342
    Уважаемый(ая) unscored, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,818
    Вес репутации
    75
    Здравствуйте!


    Цитата Сообщение от unscored Посмотреть сообщение
    амиго одноклассники вконтакте бар, яндекс бар, обновление драйверов и прочий мусорный софт
    Если есть в перечне установленных программ, удалите еще раз.

    Временно отключите защитное ПО.
    Выполните скрипт в AVZ:

    Код:
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\programdata\medlight\medlight.exe');
     TerminateProcessByName('c:\programdata\camycilop\camycilop.exe');
     StopService('Medlight');
     StopService('caMyciloP');
     QuarantineFile('C:\Users\ОлегОля\AppData\Roaming\WindowsUpdater\Updater.exe','');
     QuarantineFile('C:\Users\ОлегОля\AppData\Local\Hostinstaller\3880967932_installcube.exe','');
     QuarantineFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe','');
     QuarantineFile('c:\programdata\medlight\medlight.exe','');
     QuarantineFile('c:\programdata\camycilop\camycilop.exe','');
     QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Local\Cansing', '');
     DeleteFile('c:\programdata\camycilop\camycilop.exe','32');
     DeleteFile('c:\programdata\medlight\medlight.exe','32');
     DeleteFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe','32');
     DeleteFile('C:\Users\ОлегОля\AppData\Local\Hostinstaller\3880967932_installcube.exe','32');
     DeleteFile('C:\Users\ОлегОля\AppData\Roaming\WindowsUpdater\Updater.exe','32');
     DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Local\Cansing', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "doinloaddm" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
     DeleteService('ApplicationHosting');
     DeleteService('Medlight');
     DeleteService('caMyciloP');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    ExecuteSysClean;
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    Cделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.


    Подготовьте лог сканирования AdwCleaner.

  5. #4
    Junior Member Репутация
    Регистрация
    18.10.2012
    Сообщений
    27
    Вес репутации
    19
    скрипт выполнил
    Вложения Вложения

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,818
    Вес репутации
    75
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • Нажмите кнопку "Scan" ("Сканировать").
    • По окончании сканирования в меню Настройки отметьте дополнительно:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


    Затем:
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  7. #6
    Junior Member Репутация
    Регистрация
    18.10.2012
    Сообщений
    27
    Вес репутации
    19
    выполнил
    Вложения Вложения

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,818
    Вес репутации
    75
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код:
    start
    CreateRestorePoint:
    HKU\S-1-5-21-628030155-691147062-658723228-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNf1_PlM2shTAVs8GGs-XoPvk3MqnJyPun56g7eeM3ME5SxmRffDJfmXfojuBXwvU6TsWJGHWg71vRAXWgL3A4-lZHaux5KlEQrNTkz-GVGuPNMbzxQ5M5wPpS6HtCJF39cAq72P_r2iqywn2RkUHShNB-CdDT
    HKU\S-1-5-21-628030155-691147062-658723228-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNf1_PlM2shTAVs8GGs-XoPvk3MqnJyPun56g7eeM3ME5SxmRffDJfmXfojuBXwvU6TsWJGHWg71vRAXnvaPiGt3zEyxgPzx1L82NpYWqXKkMpoGH_a6louBjlPE-Bu4yl8i-CR7kRfzBMZDn6QfvXUh4rAvXX&q={searchTerms}
    HKU\S-1-5-21-628030155-691147062-658723228-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNf1_PlM2shTAVs8GGs-XoPvk3MqnJyPun56g7eeM3ME5SxmRffDJfmXfojuBXwvU6TsWJGHWg71vRAXnvaPiGt3zEyxgPzx1L82NpYWqXKkMpoGH_a6louBjlPE-Bu4yl8i-CR7kRfzBMZDn6QfvXUh4rAvXX&q={searchTerms}
    HKU\S-1-5-21-628030155-691147062-658723228-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNf1_PlM2shTAVs8GGs-XoPvk3MqnJyPun56g7eeM3ME5SxmRffDJfmXfojuBXwvU6TsWJGHWg71vRAXnvaPiGt3zEyxgPzx1L82NpYWqXKkMpoGH_a6louBjlPE-Bu4yl8i-CR7kRfzBMZDn6QfvXUh4rAvXX&q={searchTerms}
    FF NewTab: C:\ProgramData\caMyciloPs\ff.NT
    CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://www.oursurfing.com/?type=hp&ts=1447256116&z=d9143e43ef072f7d8678edfgbz3zbm7o5w7qcg5gbq&from=amt&uid=st9320325as_6vd7m1el","hxxp://www.oursurfing.com/?type=hp&ts=1447688157&z=59e098f83e07eb0caf98651gez6zdmeq2b4b1g5w3m&from=amt&uid=st9320325as_6vd7m1el","hxxp://mail.ru/cnt/10445?gp=anvir5"
    CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNf1_PlM2shTAVs8GGs-XoPvk3MqnJyPun56g7eeM3ME5SxmRffDJfmXfojuBXwvU6TsWJGHWg71vRAXn41zZUhdn6hL6LT9psTJ6hqIjz3kfZdPpdFV29pU5h__44fFQHFkkUdzONFuNTyQdEYeeyQOMd0sgZ&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
    2015-11-10 17:35 - 2015-11-10 17:35 - 00001020 _____ C:\Windows\Tasks\cdMtWEjgRAUAiStgOBw8.job
    2015-11-10 17:34 - 2015-11-10 17:35 - 00000000 ____D C:\Program Files (x86)\ca373d01-2b6e-4153-b669-af6ed8d41ee2
    2015-11-10 17:32 - 2015-11-30 12:32 - 00000000 ____D C:\Users\ОлегОля\AppData\Local\Opera Software
    2015-11-10 16:39 - 2015-11-30 12:32 - 00000000 ____D C:\Users\ОлегОля\AppData\LocalLow\Unity
    2015-11-10 16:39 - 2015-11-10 16:39 - 00000000 ____D C:\Users\ОлегОля\AppData\Roaming\MailProducts
    2015-11-10 16:32 - 2015-11-10 16:32 - 00000000 ____D C:\Users\ОлегОля\AppData\Roaming\ProductData
    2015-11-10 16:32 - 2015-11-10 16:32 - 00000000 ____D C:\ProgramDataIObit
    2015-11-10 16:31 - 2015-11-10 16:32 - 00000000 ____D C:\Users\Все пользователи\IObit
    2015-11-10 16:31 - 2015-11-10 16:32 - 00000000 ____D C:\ProgramData\IObit
    2015-11-10 16:31 - 2015-11-10 16:31 - 00002912 _____ C:\Windows\System32\Tasks\Uninstaller_SkipUac_ОлегОля
    2015-11-10 16:31 - 2015-11-10 16:31 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
    2015-11-10 16:31 - 2015-11-10 16:31 - 00000000 ____D C:\Users\ОлегОля\AppData\Roaming\Apple Computer
    2015-11-10 16:31 - 2015-11-10 16:31 - 00000000 ____D C:\Users\ОлегОля\AppData\LocalLow\IObit
    2015-11-10 16:31 - 2015-11-10 16:31 - 00000000 ____D C:\Users\Все пользователи\ProductData
    2015-11-10 16:31 - 2015-11-10 16:31 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    2015-11-10 16:31 - 2015-11-10 16:31 - 00000000 ____D C:\ProgramData\ProductData
    2015-11-10 16:31 - 2015-11-10 16:31 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    2015-11-10 16:30 - 2015-11-11 10:19 - 00000000 ____D C:\Program Files (x86)\IObit
    2015-11-10 16:30 - 2015-11-10 16:31 - 00000000 ____D C:\Users\ОлегОля\AppData\Roaming\IObit
    2015-11-10 16:29 - 2015-11-30 12:39 - 00000000 ____D C:\Users\ОлегОля\AppData\Roaming\WindowsUpdater
    2015-11-10 16:29 - 2015-11-30 12:39 - 00000000 ____D C:\Users\ОлегОля\AppData\Local\Hostinstaller
    2015-11-10 16:29 - 2015-11-10 16:29 - 00000000 ____D C:\Users\ОлегОля\AppData\Roaming\MyDesktop
    2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\ОлегОля\AppData\Roaming\cdMtWEjgRAUAiStgOBw8
    2015-04-20 16:05 - 2015-04-20 16:05 - 1579520 _____ () C:\Users\ОлегОля\AppData\Roaming\cdMtWEjgRAUAiStgOBw8.exe
    Task: {66151B30-5D4E-41D1-8416-929FB0D754C6} - System32\Tasks\Uninstaller_SkipUac_ОлегОля => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
    Task: C:\Windows\Tasks\cdMtWEjgRAUAiStgOBw8.job => C:\Users\эяэяэяэяэяэяэя\AppData\Roaming\cdMtWEjgRAUAiStgOBw8.exe <==== ATTENTION
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите что с проблемой.

  9. #8
    Junior Member Репутация
    Регистрация
    18.10.2012
    Сообщений
    27
    Вес репутации
    19
    всё сделал.
    программы от АМИГО не установились спустя сутки после удаления. Реклама с сайтов ушла.
    Большое спасибо, вам ребята. Выручаете не первый раз. Еще раз огромное спасибо!
    Вложения Вложения

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,818
    Вес репутации
    75
    Для того, чтобы пореже сюда заходить :
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
    begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
    else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Советы и рекомендации после лечения компьютера.

  11. #10
    Junior Member Репутация
    Регистрация
    18.10.2012
    Сообщений
    27
    Вес репутации
    19
    уже сделано. уязвимостей не обнаружилось)
    я вроде и так не частый гость тут
    тему я должен закрывать или она автоматически закроется?

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    1,818
    Вес репутации
    75
    Робот закроет))

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\олеголя\appdata\roaming\windowsupdater\up dater.exe - Trojan-Downloader.Win32.Adload.idfj ( DrWEB: BackDoor.Spy.3021, AVAST4: Win32:Dropper-gen [Drp] )


  • Уважаемый(ая) unscored, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 13
      Последнее сообщение: 29.10.2015, 19:16
    2. Ответов: 3
      Последнее сообщение: 27.05.2015, 12:21
    3. Ответов: 8
      Последнее сообщение: 03.07.2014, 14:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00927 seconds with 17 queries