Решена Помогите пожалуйста удалить трояна.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Bambino, 8 апр 2012.

Статус темы:
Закрыта.
  1. Bambino
    Оффлайн

    Bambino Пользователь

    Сообщения:
    12
    Симпатии:
    0
    Добрый вечер! Комп начал подвисать. Все из-за него Trojan. DownLoad3. 4061 C:\News\news.exe - ни как не могу от него избавиться...очень прошу вас помочь в этом. Заранее спасибо!
     
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Bambino, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
  4. Bambino
    Оффлайн

    Bambino Пользователь

    Сообщения:
    12
    Симпатии:
    0
    Подготавливаю все логи...
     
  5. Bambino
    Оффлайн

    Bambino Пользователь

    Сообщения:
    12
    Симпатии:
    0
    Вот все логи:
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      26,7 КБ
      Просмотров:
      7
    • virusinfo_syscheck.zip
      Размер файла:
      28,7 КБ
      Просмотров:
      3
    • info.txt
      Размер файла:
      31,3 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      27,1 КБ
      Просмотров:
      2
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Здравствуйте. Сейчас посмотрю логи.

    Добавлено через 18 минут 43 секунды
    Отключите антивирус/фаервол, интернет;

    Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код (Text):

    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Bambino\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mail.exe','');
     QuarantineFile('D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe','');
     QuarantineFile('C:\News\news.exe','');
     QuarantineFile('C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\9.mdd','');
     QuarantineFile('C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\12.mdd','');
     QuarantineFile('C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\1.mdd','');
     QuarantineFile('C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\0.mdd','');
     QuarantineFileF('C:\News','*', true,'',0 ,0);
     DeleteFile('C:\News\news.exe');
     DeleteFileMask('C:\News', '*', true);
     DeleteDirectory('C:\News',' ');
     DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','News');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки AVZ отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

    Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

    C:\Users\Bambino\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mail.exe - вам знакомо ?
    А также программа D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe знакома ? (это похоже adware программа OCR распознавания текста).

    что с проблемой ?
     
    Последнее редактирование: 8 апр 2012
  7. Bambino
    Оффлайн

    Bambino Пользователь

    Сообщения:
    12
    Симпатии:
    0
    Полученный архив quarantine.zip из папки AVZ отправьте с помощью этой формы, - не открывает ссылку (504 Gateway Time-out)
    Сделал новые логи virusinfo_syscheck.zip; log.txt, info.txt.
    C:\Users\Bambino\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mail.exe - Возможно это мэйл агент!?
    D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe - программа от сканера шла в драйверах.
    На счет C:\News\news.exe - он остался на прежнем.месте - удалить в ручную или что (просто я не так хорошо шарю в этом)?
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      27,8 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      26,9 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      32,1 КБ
      Просмотров:
      0
  8. Bambino
    Оффлайн

    Bambino Пользователь

    Сообщения:
    12
    Симпатии:
    0
    Висит в процессах еще (((
     

    Вложения:

  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    похоже сайт временно недоступен, попытайтесь отправить попозже или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
     
  10. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.731
    Симпатии:
    3.260
    Bambino, Вы не ссылку на скачивание пришлите , а сам архив.
     
  11. Bambino
    Оффлайн

    Bambino Пользователь

    Сообщения:
    12
    Симпатии:
    0
    да я бы с радостью, но файлы превышающие объем 20 мб отправляются как ссылкой на скачивание. Есть предложения как вам отправить файлом? :blush:
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Загрузите файлы сюда http://rghost.ru/ ссылку на скачивание скиньте мне через личные сообщения.
     
  13. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.731
    Симпатии:
    3.260
    Скачал - отправляю. Нужно через клиента почтового отправлять. Посмотрим что получится.
     
    1 человеку нравится это.
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Bambino, посмотрите присутствуют ли на компьютере файлы

    Код (Text):
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\1.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\10.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\11.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\12.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\13.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\14.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\15.mdd
     C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\16.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\18.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\2.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\20.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\21.mdd
     C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\22.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\4.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\5.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\6.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\8.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\9.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\0.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\17.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\3.mdd
    C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\7.mdd
    если они есть, то запакуйте их в zip архив с паролем virus и тоже пришлите на почту. А также прикрепите лог полного сканировая MBAM.

    Остальные рекомендации дам уже завтра.
     
    1 человеку нравится это.
  15. Bambino
    Оффлайн

    Bambino Пользователь

    Сообщения:
    12
    Симпатии:
    0
    По данному адресу C:\Users\Bambino\AppData\Local\Temp такие файлы отсутствуют. Лог полного сканировая MBAM прикреплю после завершения сканирования...

    Добавлено через 14 минут 24 секунды
    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Версия базы данных: v2012.04.08.05

    Windows 7 x86 NTFS
    Internet Explorer 8.0.7600.16385
    Bambino :: BAMBINO-ПК [администратор]

    08.04.2012 23:04:20
    mbam-log-2012-04-08 (23-04-20).txt

    Тип сканирования: Полное сканирование
    Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
    Опции сканирования отключены: P2P
    Просканированные объекты: 357497
    Времени прошло: 1 часов , 12 минут , 53 секунд

    Обнаруженные процессы в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные модули в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные ключи в реестре: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные параметры в реестре: 0
    (Вредоносных программ не обнаружено)

    Объекты реестра обнаружены: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные папки: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные файлы: 27
    C:\Windows\System32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Wcmikons.dll (Trojan.FakeAlert) -> Помещено в карантин и успешно удалено.
    D:\Program Files\Adobe\Adobe Photoshop CS5\adobe_PS_CS5_keygen.exe (Malware.Packer.Gen) -> Помещено в карантин и успешно удалено.
    D:\Program Files\Программы\PhotoshopCS5rus_keymaker\adobe_PS_CS5_keygen\adobe_PS_CS5_keygen.exe (Malware.Packer.Gen) -> Помещено в карантин и успешно удалено.
    D:\System Volume Information\_restore{D7E4711B-341A-4453-8486-C7D2AC973702}\RP146\A0182984.exe (Joke.Stressreducer) -> Помещено в карантин и успешно удалено.
    D:\System Volume Information\_restore{D7E4711B-341A-4453-8486-C7D2AC973702}\RP147\A0189446.exe (Joke.Stressreducer) -> Помещено в карантин и успешно удалено.
    D:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP148\A0034973.exe (Spyware.OnlineGames.Gen) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{7895B704-9DD9-47DF-ACA3-8C4D6436DC54}\RP153\A0037288.exe (Virus.Expiro) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023270.exe (Malware.Gen) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023271.exe (Malware.Packer.Krunchy) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023320.exe (PUP.Joke.RJLSoftware) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023338.exe (PUP.Joke.RJLSoftware) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023339.exe (PUP.Joke.Buttons) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023355.exe (Joke.VV) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023495.exe (Spyware.Passwords) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP121\A0025518.exe (Malware.Packer.Krunchy) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031674.exe (Malware.Gen) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031675.exe (Malware.Packer.Krunchy) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031724.exe (PUP.Joke.RJLSoftware) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031740.exe (PUP.Joke.RJLSoftware) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031741.exe (PUP.Joke.Buttons) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031757.exe (Joke.VV) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031808.exe (Spyware.Passwords) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP141\A0033217.EXE (PUP.Joke.Bazarbox) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP98\A0018754.EXE (PUP.Joke.Bazarbox) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP99\A0018906.exe (JokeApp.NotFunny) -> Помещено в карантин и успешно удалено.
    E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP99\A0018907.EXE (PUP.Joke.Bazarbox) -> Помещено в карантин и успешно удалено.

    (конец)
     
  16. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    TerminateProcessByName('c:\users\bambino\appdata\roaming\microsoft\windows\start menu\programs\startup\mail.exe');
     DeleteFile('c:\users\bambino\appdata\roaming\microsoft\windows\start menu\programs\startup\mail.exe');
    DeleteFile('C:\News\news.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
     
    1 человеку нравится это.
  17. Bambino
    Оффлайн

    Bambino Пользователь

    Сообщения:
    12
    Симпатии:
    0
    Вот логи:
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      25,4 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      34,8 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      26,9 КБ
      Просмотров:
      1
  18. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
  19. Bambino
    Оффлайн

    Bambino Пользователь

    Сообщения:
    12
    Симпатии:
    0
    Сделал
     

    Вложения:

    • checkup.txt
      Размер файла:
      747 байт
      Просмотров:
      3
  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Java(TM) 6 Update 24 Java version out of date! - обновите Java

    Как самочувствие системы?
     
Статус темы:
Закрыта.

Поделиться этой страницей