Показано с 1 по 18 из 18.

iMax Download Manager (заявка № 63317)

  1. #1
    Junior Member Репутация Репутация
    Регистрация
    11.12.2009
    Сообщений
    9
    Вес репутации
    31

    Thumbs up iMax Download Manager

    Добрый день.

    Поймал вирус iMax Download Manager.

    На компьютере антивируса не стояло. Никакие программы, в том числе антивирусные запустить или инсталировать не получилось ни в обычном, ни безопасном режиме, ни меняя пользователя.

    Попробовал лечить файлы через Kaspersky Virus Removal Tool. Что-то нашло, но после перезагрузки вирус восстановился.

    Пробовал другие медоды с ручной сортировкой dll файлов в sistem32, но так и не определил из них какие являются вирусов - размером 133 664 байт. Там такого точно размера не было.

    В итоге получилось скачал программу Emergency Boot CD/DVD 6.0.1 Final Release
    тут: _http://vipzone.ws/soft/80931-emergency-boot-cddvd-6.0.1-final-releasenew.html
    под которой удалось создать искусственную windows оболчку. (Не знаю как это правильно называется).
    Там удалось запустить Kaspersky Virus Removal Tools (setup_9.0.0.722_03.12.2009_11-34.exe)
    Но он там уже ничего не нашел.

    Какой-то троян нашел после Доктор Веб. Удалил его.

    После перезагрузки стали запускаться некоторые программы, но окошко вируса опять выпрыгнуло.

    Зашел ещё раз через "виртуальную виндовз".
    Запустил AVZ4 - сохранил его лог.
    Запустил HiJackThis - сохранил его лог.

    И опять все с начала.

    Помогите плиз, что делать дальше.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log) - всего должно быть 3 лога

  4. #3
    Junior Member Репутация Репутация
    Регистрация
    11.12.2009
    Сообщений
    9
    Вес репутации
    31

    Добавил

    Добавил файлы.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    логи из под cd бесполезны

  6. #5
    Junior Member Репутация Репутация
    Регистрация
    11.12.2009
    Сообщений
    9
    Вес репутации
    31
    А какие мне логи нужно сделать? Можете уточнить?

    Или я сделал неправильно.
    Не понял Ваш комментарий.
    Куда мне дальше двигаться?

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,349
    Вес репутации
    3019
    Нужны логи, сделанные на зараженной системе
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация Репутация
    Регистрация
    11.12.2009
    Сообщений
    9
    Вес репутации
    31
    А как это сделать, если там не один exe файл не запускается?
    Скачивал какой-то вариант программы с переименованным расширением.
    Но когда его запускаешь перегружается windows.

  9. #8
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    328
    Попробуйте сделать такой лог:
    Скачайте эту программу: http://www2.online-solutions.ru/ru/d...le.php?p=65579
    - Переименовать папку с программой, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
    - Переименовать исполняемый файл программы в что-то типа game.pif, program.com
    Попробуйте сделать лог:
    1) Запустите OSAM и дождитесь окончания сканирования.
    2) Нажмите на кнопку "Save Log"
    3) Запакуйте лог в архив и прикрепите к своему следующему сообщению.
    GHETTO/STREET WORKOUT

  10. #9
    Junior Member Репутация Репутация
    Регистрация
    11.12.2009
    Сообщений
    9
    Вес репутации
    31
    Программа запустилась только после перезагрузки.
    Прилагаю лог.

  11. #10
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    328
    1) Запустите OSAM и дождитесь окончания сканирования.
    2) Перейдите в программе в "Settings" и в пункте "Disable objects using the driver" выбирите "Always" - нажмите Ok.
    3) Снимите галочки со следующих строчек:
    Код:
    AppInit DLLs
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
    "AppInit_DLLs"	"8ViBYMCfyYOjyxNb2iCxLybpmBmU5aAhGX4KV7"	C:\WINDOWS\system32\mfplp.dll
    
    Logon
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    "Userinit"		C:\WINDOWS\system32\sdra64.exe
    
    Services
    HKLM\SYSTEM\CurrentControlSet\Services
    "1212691009" (.1212691009)		C:\Program Files\1212691009\Painter1212691009L.exe
    Нажмите "Apply"
    Подвердите все дальнейшие запросы программы.
    Компьютер перезагрузится.
    4) Повторите лог OSAM + попробуйте сделать логи по правилам.
    GHETTO/STREET WORKOUT

  12. #11
    Junior Member Репутация Репутация
    Регистрация
    11.12.2009
    Сообщений
    9
    Вес репутации
    31
    Вроде получилось сделать три файла как надо.
    Окошко вируса сейчас не выпрыгивает.

  13. #12
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    328
    1) Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Policies\Explorer\Run: [] 
    O4 - HKUS\S-1-5-19\..\RunOnce: []  (User 'LOCAL SERVICE')
    2) Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     StopService('qnihndj');
     QuarantineFile('E:\Install\pdf2vec_cmd(3)\pdf2vec_cmd\vbcom.exe','');
     QuarantineFile('E:\Install\pdf\pdftool.exe','');
     QuarantineFile('E:\Files Nokia 2008\04\15_04 неделя\- бдф папка -30мин.doc','');
     QuarantineFile('G:\autorun.inf',''); 
     QuarantineFile('C:\WINDOWS\system32\Drivers\qnihndj.sys','');
     QuarantineFile('C:\WINDOWS\system32\mfplp.dll',''); 
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); 
     QuarantineFile('C:\Program Files\1212691009\Painter1212691009L.exe',''); 
     DeleteFile('C:\WINDOWS\system32\Drivers\qnihndj.sys');
     DeleteFile('G:\autorun.inf');
     DeleteService('qnihndj');
     DeleteFile('C:\WINDOWS\system32\mfplp.dll');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\Program Files\1212691009\Painter1212691009L.exe');
     DeleteFileMask('C:\Program Files\1212691009', '*.*', true);
     DeleteDirectory('C:\Program Files\1212691009');
     RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    ClearHostsFile;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    3) Затем выполните второй скрипт в AVZ:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
    4) Обновите базы AVZ.
    5) Сделайте новые лог virusinfo_syscheck.zip + такой лог: http://virusinfo.info/showthread.php?t=53070

    Изменения в HOSTS файл я так понимаю сами вносили?
    GHETTO/STREET WORKOUT

  14. #13
    Junior Member Репутация Репутация
    Регистрация
    11.12.2009
    Сообщений
    9
    Вес репутации
    31
    Сделал отчеты.

    В HOSTS файл, да. Я вносил изменения. Чтобы Adobe программы работали.

  15. #14
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    328
    1) Удалите в mbam:
    Код:
    Заражено ключей реестра:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    
    Заражено значений реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Заражено папок:
    C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    
    Заражено файлов:
    C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
    2) Устраните в мастере поиска и устранения проблем AVZ (файл - мастер поиска и устранения проблем - системные проблемы - выбирите "все проблемы" - пуск - поставьте галочки на указанных пунктах - нажмите "Исправить отмеченные проблемы):
    Код:
     >>  Таймаут завершения процессов находится за пределами допустимых значений
    3) сделайте новый лог mbam.
    GHETTO/STREET WORKOUT

  16. #15
    Junior Member Репутация Репутация
    Регистрация
    11.12.2009
    Сообщений
    9
    Вес репутации
    31
    Сделал новый лог mbam.

  17. #16
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    328
    В логе чисто.
    Проблема решена?
    GHETTO/STREET WORKOUT

  18. #17
    Junior Member Репутация Репутация
    Регистрация
    11.12.2009
    Сообщений
    9
    Вес репутации
    31
    Надеюсь, что проблема решена.
    Огромное Вам спасибо.

    Если Вам что-то нужно будет помочь по дизайну(веб-баннер или что-то ешё по интернету), обращайтесь в свою очередь. Я дизайнер.

    Пишите: art(dog)paintorg.com
    Антон.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    786
    Вы бы лучше нам карантин прислали, а не веб-дизайн предлагали

  • Уважаемый(ая) day11, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. iMax Download manager + что-то еще
      От Tritan в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 19.12.2009, 19:24
    2. iMax Download Manager
      От Akzhan в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.12.2009, 11:00
    3. iMax Download Manager
      От nivalland в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.12.2009, 02:46
    4. iMax Download Manager
      От Foxchrome в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.12.2009, 20:25
    5. iMAX Download Manager
      От tamoler в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.12.2009, 17:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01045 seconds with 17 queries