Решена Backdoor.Win32.IRCBot.aepk & not-a-virus:RiskTool.Win32.BitCoinMiner.cen

Статус
В этой теме нельзя размещать новые ответы.
Приветствую TavapHяk, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Не могу архив отправить из-за названия virus.zip
 
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 TerminateProcessByName('c:\users\Роман\appdata\roaming\java\update\download\cache\csrss.exe');
 TerminateProcessByName('c:\windows\system32\checkdisku.exe');
 QuarantineFile('C:\Users\Роман\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe','');
 QuarantineFile('C:\Users\Роман\AppData\Roaming\2EC49B\2EC49B.exe','');
 QuarantineFile('c:\windows\system32\checkdisku.exe','');
 QuarantineFile('c:\users\Роман\appdata\roaming\java\update\download\cache\csrss.exe','');
 DeleteFile('c:\windows\system32\checkdisku.exe','32');
 DeleteFile('c:\users\Роман\appdata\roaming\java\update\download\cache\csrss.exe','32');
 DeleteFile('C:\Users\Роман\AppData\Roaming\2EC49B\2EC49B.exe','32');
 DeleteFile('C:\Users\Роман\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe','32');
 DeleteFile('c:\users\Роман\appdata\roaming\java\update\download\cache\csrss.exe');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AlterGeoUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AlterGeoUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.
 
готово
 

Вложения

  • hijackthis.log
    7.1 KB · Просмотры: 1
  • virusinfo_syscure.zip
    13.2 KB · Просмотры: 1
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
а не ко мне в личку ;).

логи пока посмотреть не могу гляну позже если никто не опередит.

Добавлено через 2 часа 17 минут 53 секунды
Сделайте новые логи .... log.txt, info.txt.
где логи RSIT ?!

+ к ним

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

--------------
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
лог MBAM скоро будет
 

Вложения

  • AdwCleaner[R0].txt
    1.6 KB · Просмотры: 1
  • info.txt
    36.9 KB · Просмотры: 1
  • log.txt
    25.6 KB · Просмотры: 1
1)Html5 geolocation provider - деинсталируйте, через установку и удаление программ.

2)
  • Запустите повторно AdwCleaner (by Xplode), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
даже и не знаю
 

Вложения

  • MBAM-log-2013-09-14 (20-23-24).txt
    140.1 KB · Просмотры: 1
mbam пока не закрывайте, сейчас посмотрю лог.

Добавлено через 1 минуту 22 секунды
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками всё кроме указанных ниже строчек - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
D:\игра\star craft\SETUP.EXE (Hacktool.Crk) -> Действие не было предпринято.
D:\игра\star craft\starcraft\SETUP.EXE (Hacktool.Crk) -> Действие не было предпринято.
D:\игра\античит\Launcher\iccwc3.icc (PUP.GameTool) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

что с проблемой?
 
есть
 

Вложения

  • AdwCleaner[S0].txt
    1.7 KB · Просмотры: 1
Так у него игра стоит эта. Это удалять не надо. А так нормально все.
 
Если проблем больше нет

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall.
  • Подтвердите удаление нажав кнопку: Да.

Деинсталируйте MBAM

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Тему не закрывайте. Сейчас через МВАМ удалю найденое и повторю проверку. Просто пост невнимательно прочел, сори. Лог приложу позже.
Вирус скорей всего залез через Яву, т.к. версия 2 там была, обновил.

Добавлено через 1 час 29 минут 52 секунды
Проверил МВАМ. Странно, я ничего не удалял. При проверке я видел, что он пробегал и видел тулбар, но как он его не засек? Сам по себе тулбар не мог растворится.
Папки скрытые все видны. Мистика.
Что делать?
 
лог
 

Вложения

  • РОМАН-ПК_2013-09-25_21-26-36.7z
    443.7 KB · Просмотры: 2
Тогда тему можно отмечать решеной. Спасибо еще раз!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу