Решена Win32:Confi Wrm

Тема в разделе "Лечение компьютерных вирусов", создана пользователем FullDarkness, 4 фев 2013.

Статус темы:
Закрыта.
  1. FullDarkness
    Оффлайн

    FullDarkness Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Всем привет! Помогите побороть червя Kido =) KidoKiller ничего не находит кроме задания At1.job... аваст постоянно убивает его в system32 там какой то набор букв с расширением vc... Чем бы не пытался сканировать и лечить вирус не обнаруживается и постоянно появляется вновь вместе с заданием...
     

    Вложения:

    • info.txt
      Размер файла:
      39,1 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      30,3 КБ
      Просмотров:
      4
    • virusinfo_syscheck.zip
      Размер файла:
      20,9 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      21,2 КБ
      Просмотров:
      2
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую FullDarkness, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.033
    Симпатии:
    4.478
    Ни каких следов Kido у вас не обнаружено.

    Если это не ваша настройка Proxy:
    1. Пофиксите в HJT эти строки
    Код (Text):
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = vserver:8080
    2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Программу не закрывайте и самостоятельно ни чего не удаляйте!
     
  4. FullDarkness
    Оффлайн

    FullDarkness Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Прокси моя...
    систему просканировал ничего такого не нашла... сам файлик drfpucn.vc переодично удаляется авастом... видимо как только появляется так и удаляется...
    Вот что можно разобрать из задания C:\Windows\tasks\At1.job
    rundll32.exe drfpucn.vc, xfdquksr
    NetScheduleJobAdd
     

    Вложения:

  5. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    1) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве

    Код (Text):
    C:\Users\admin.VATREME.001\AppData\Local\Thinstall\Cache\Stubs\1227f053d6da2f2859d270fdc3089114ec7f4\neocleaner.exe (Trojan.Backdoor) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    2) сделайте логи полиморфным AVZ (базы от 11.11.12) и прикрепите их к сообщению.

    3) Откройте в блокноте
    Код (Text):
    C:\Windows\tasks\At1.job
    и напишите тут всё его содержимое включая крякозябры.

    4) Удалите этот файл вручную, сделайте новые логи RSIT
     
    Последнее редактирование: 4 фев 2013
    1 человеку нравится это.
  6. FullDarkness
    Оффлайн

    FullDarkness Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    1) сделал
    2) по подробнее не понял как и тчо значит полиморфным и что в архиве?
    3) Я открывал смотрел и присылал что есть текст не копируется а кракозябл таких и на клавиатуре в помине небыло...
    4) сделал
     

    Вложения:

  7. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.033
    Симпатии:
    4.478
    полностью выделите весь текст и скопируйте сюда.
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    там в архиве переименованный AVZ надо было скачать его распаковать и сделать логи им, но если вы уже удалили этот файл - шаг №4 то шаги №2 и №3 получаются уже не актуальны.
     
  9. FullDarkness
    Оффлайн

    FullDarkness Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Почему не актуально? Этот файл уже давно вернулся... оба файла восстанавливаются откуда то...

    Добавлено через 46 секунд
    Как этим авз сканировать? Скрипт 2 и 3 использовать?

    Добавлено через 2 минуты 56 секунд
    когда я открываю файл at1.job мне блокнот ругается что он бинарный после чего всеже открывается но скопировать ничего оттуда не дает... я могу если только перепечатать вам или запаковать сам файл и отправить вам... сами откроете и посмотрете
     
  10. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.033
    Симпатии:
    4.478
    выложите на обменник, а сюда ссылку на него.
     
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    да.
     
  12. FullDarkness
    Оффлайн

    FullDarkness Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
  13. FullDarkness
    Оффлайн

    FullDarkness Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Вот логи avz
     

    Вложения:

  14. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.033
    Симпатии:
    4.478
    Это доменное имя вам знакомо?
    Добавлено через 11 минут 37 секунд
    1. Если оно вам не знакомо, тогда Пофиксите в HJT эти строки
    2. Затем очистите кэш DNS: в командной строке, запущенной от администратора
    ("Пуск"=>Введите cmd => По найденному объекту кликните правой кнопкой мыши и выберите пункт Запустить с правами администратора"), выполните:
    3. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
  15. FullDarkness
    Оффлайн

    FullDarkness Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Домен знаком...
    кэш днс чистить при этом?
     
  16. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.033
    Симпатии:
    4.478
    Тогда не стоит, делайте ComboFix.
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    на момент создания логов файл At1.job был или вы его снова удалили ?
     
  18. FullDarkness
    Оффлайн

    FullDarkness Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Нет не трогал... только запаковал и отправил
     
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Ждем запрошенные логи.
     
  20. FullDarkness
    Оффлайн

    FullDarkness Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Прошу прощения за задержку =)
     

    Вложения:

    • logcombo.txt
      Размер файла:
      35,2 КБ
      Просмотров:
      5
Статус темы:
Закрыта.

Поделиться этой страницей