Решена Рабочий комп заболел Trojan.Win32.Generic

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Илья312, 20 июн 2016.

Статус темы:
Закрыта.
  1. Илья312
    Оффлайн

    Илья312 Новый пользователь

    Сообщения:
    12
    Симпатии:
    2
    Компьютер с установленным АРМ и антивирусом Касперского для WorkStation 6, подключен к Интернету через локальную сеть. ОС WinXP Начали закрадываться подозрения, после нескольких часов работы и запустил полную проверку проверку Каспер нашел несколько вирусов в общей папке (подкаталоги beloff_12.07 DVD? EXTREM (D)). Удалил, после перезагрузки и повторной проверки троян перекочевал в Microsoft_Access_2007 (в Document and Settings), файл помещен на карантин.

    Третья проверка показала что комп чист, однако подозрения не исчезли. Прикладываю логи AVZ и HJT,

    Подскажите как можно папки BELOFF_DVD 12.07 И EXTREM поместить на карантин, KIS вроде позволял кидать целые папки, на этой машине установлен только workstation 6?
     

    Вложения:

  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
  3. Илья312
    Оффлайн

    Илья312 Новый пользователь

    Сообщения:
    12
    Симпатии:
    2
    Извините мою невнимательность, по старой привычке все вручную делал. Вот,

    Вспомнил, мб будет полезна информация.
    При открытой Опере, иногда вылазит новое окно со множеством вкладок рекламного характера. Перед тем, что описал в стартовом посте, решил почистить кэш IE, Opera (Снес Amigo и сервисы Mail.ru, Спутник), отключил все плагины оперы. Так вирус и нашел.
     

    Вложения:

    Последнее редактирование: 20 июн 2016
  4. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Здравствуйте, Илья312!

    Заархивируйте с паролем virus папку
    и отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на эту тему в заголовке сообщения и с указанием пароля: virus в теле письма.
     
    DllPok нравится это.
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Пофиксите в HiJack
    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search


    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    1. Распакуйте архив с утилитой в отдельную папку.
    2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    [​IMG]
    3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    4. Прикрепите этот отчет к своему следующему сообщению.
     
  6. Илья312
    Оффлайн

    Илья312 Новый пользователь

    Сообщения:
    12
    Симпатии:
    2
    Извините за задержку, из дома к рабочему компу доступа не имею
    Dragokas, файл выслан по вышеуказанной ссылке, размером -6кб (применялся 7-zip).
    thyrex, пофиксил, вот отчет:
    ClearLNK by Alex Dragokas ver. 2.9.0.7

    OS: x32 Windows XP Professional, 5.1.2600, Service Pack: 3
    Time: 21.06.2016 - 11:38
    Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
    User: User (group: Administrator). SM=Personal + SingleUserTS, PT=Workstation.

    _____________________________ Начало лога ______________________________
    .
    [ OK ] 1 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Internet Explorer (2).lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ] (Метод R5-A2) (ОК)
    [ OK ] 2 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Internet Explorer.lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ] (Метод R5-A2) (ОК)
    [ OK ] 3 "C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" hxxp://www.mail.ru ] (Метод RN-S) (ОК)
    .
    [DEL ] 4 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Одноклассники.lnk" (цель не восстановлена)
    [DEL ] 5 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Войти в Интернет.lnk" (цель не восстановлена)
    [DEL ] 6 "C:\Documents and Settings\User\Рабочий стол\KitchenDraw.lnk" (цель не восстановлена)
    [DEL ] 7 "C:\Documents and Settings\User\Рабочий стол\Ярлык для архив 2015.lnk" (цель не восстановлена)
    [DEL ] 8 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Canon LASER SHOT LBP-1120.LNK" (цель не восстановлена)
    [DEL ] 9 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Continue EMS SQL Manager 2007 Lite for DB2 Installation.lnk" (цель не восстановлена)
    [DEL ] 10 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Continue Logic Architect Installation.lnk" (цель не восстановлена)
    [DEL ] 11 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Wireless Connection Manager.lnk" (цель не восстановлена)
    [DEL ] 12 "C:\Documents and Settings\User\Рабочий стол\Письма\Нотариат 2013\наследства\5-2013\04-2004.lnk" (цель не восстановлена)
    [DEL ] 13 "C:\Documents and Settings\All Users\Главное меню\Программы\Microsoft Visual Basic 6.0\Microsoft Visual Basic 6.0.lnk" (цель не восстановлена)
    [DEL ] 14 "C:\Documents and Settings\All Users\Главное меню\Программы\Microsoft Visual Basic 6.0\Microsoft Visual Basic 6.0 Tools\Package & Deployment Wizard.lnk" (цель не восстановлена)
    [DEL ] 15 "C:\Documents and Settings\All Users\Главное меню\Программы\Информационная система еНот\Руководство пользователя.lnk" (цель не восстановлена)
    [DEL ] 16 "C:\Documents and Settings\All Users\Главное меню\Программы\Информационная система еНот\Сайт в Интернет.lnk" (цель не восстановлена)
    [DEL ] 17 "C:\Documents and Settings\All Users\Избранное\Mail.Ru.url"
    .

    ______________________________ Статистика ______________________________
    Лечение запущено: 1 раз за сегодня.

    Всего обработано: 17

    Исправлено: 3
    Удалено: 14
    ____________________________ Конец отчета ______________________________CRC32: 9714B421
     
    Dragokas нравится это.
  7. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Если архив еще не удалили, продублируйте пожалуйста, через почту.
     
  8. Илья312
    Оффлайн

    Илья312 Новый пользователь

    Сообщения:
    12
    Симпатии:
    2
    Отправил карантин по почте, тело письма содержит информацию что оно пересылаемое,в первый раз не удалось отправить.
     
  9. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    К сожалению, присланное Вами письмо не содержит вложения.
     
  10. Илья312
    Оффлайн

    Илья312 Новый пользователь

    Сообщения:
    12
    Симпатии:
    2
    к сожалению по указанному адресу не получается отправить письмо, вот что сообщает yandex
    <quarantine@safezone.cc>: host aspmx.l.google.com[2a00:1

    450:4010:c04::1b] said:
    552-5.7.0 This message was blocked because its content presents a potential
    552-5.7.0 security issue. Please visit 552-5.7.0
    Some file types are blocked - Gmail Help to review our message 552 5.7.0
    content and attachment content guidelines. l126si302532lfd.17 - gsmtp (in
    reply to end of DATA command)

    Статус доставки:

    Reporting-MTA: dns; forward1m.cmail.yandex.ne
    t
    X-Yandex-Queue-ID: 1AC1121112
    X-Yandex-Sender: rfc822; dormin312@yandex.ru
    Arrival-Date: Wed, 22 Jun 2016 17:12:14 +0300 (MSK)

    Final-Recipient: rfc822; quarantine@safezone.cc
    Original-Recipient: rfc822;quarantine@safezone.cc
    Action: failed
    Status: 5.7.0
    Remote-MTA: dns; aspmx.l.google.com
    Diagnostic-Code: smtp; 552-5.7.0 This message was blocked because its content
    presents a potential 552-5.7.0 security issue. Please visit 552-5.7.0
    Some file types are blocked - Gmail Help to review our message 552 5.7.0
    content and attachment content guidelines. l126si302532lfd.17 - gsmtp

    укажите, пожалуйста, другой адрес почты или способ отправки письма с карантином.
    Теперь и сам понял, вложения блокирует )))
    --- Объединённое сообщение, 22 июн 2016 ---
    Переслал повторно, может быть рамблер не будет придираться Р
     
    Последнее редактирование: 22 июн 2016
  11. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Потому что при пересылке некоторые почтовые службы отсоединяют вложения.
    Необходимо просто заново создать письмо (не нажимая кнопку "Переслать").
    --- Объединённое сообщение, 22 июн 2016 ---
    Закачайте архив через файлообменник, например rghost.ru и пришлите ссылку сюда.
     
  12. Илья312
    Оффлайн

    Илья312 Новый пользователь

    Сообщения:
    12
    Симпатии:
    2
    выполнено, пароль для скачивания safezone
     
    Последнее редактирование модератором: 22 июн 2016
  13. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    И какой пароль?
     
  14. Илья312
    Оффлайн

    Илья312 Новый пользователь

    Сообщения:
    12
    Симпатии:
    2
    проверил - ссылка выводится при вводе safezone, все скачивается свободно.
     
  15. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.306
    Пожалуйста, распакуйте этот архив у себя и запустите ярлык Internet Explorer (2)
    Скажите, запускается ли через него браузер?
     
  16. Илья312
    Оффлайн

    Илья312 Новый пользователь

    Сообщения:
    12
    Симпатии:
    2
    Да, запускается IE, запускал с другого компьютера, который не в конторе, открыл версию IE9. Не могу знать наверняка, возможно, просто когда то бывший пользователь скопировал ярлык, но сумма MD5 не читается.
     
    Dragokas нравится это.
  17. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Запустите AVZ - сервис - поиск данных по реестру - введите webalta - все найденное сохраните в файл и прикрепите.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    DllPok нравится это.
  18. Илья312
    Оффлайн

    Илья312 Новый пользователь

    Сообщения:
    12
    Симпатии:
    2
    Koza Nozdri, прикрепляю отчет. Остатки от mail.ru видимо не все удалились (или они вернулись), по остальным пунктам, жду ваших рекомендаций, не буду рисковать.
     

    Вложения:

  19. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Отметьте и удалите все найденное.
    Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    Прикрепите отчет к своему следующему сообщению
     
    Последнее редактирование модератором: 27 июн 2016
    Kиpилл нравится это.
  20. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Это не сделали.
     
Статус темы:
Закрыта.

Поделиться этой страницей