Решена Как избавиться от вредного файла в автозагрузке и папки в корне С

[агент]

Здравствуйте. У меня проблема следующая: несколько дней назад бороздя просторы инета я получил на свой комп какую-то заразу. Вроде ничего не произошло особенного, но у меня перестал запускаться гуглхром (попробавал переустановить, гугл выдал инфу:Для работы ГХ необходима ОС Windows XP и выше, некоторые функции могут не работать) и какой-то странный файл wZKqzubjWtk.exe попал в автозагрузку, я его оттуда удалил, но вредный файл время от времени сам там появляется. Через программу AnvirTask Manager элемент автозагрузки не отключается, выдаыая при этом ошибку "Процесс не может получить доступ к файлу, так как он занят другим процессом. Кроме того в корне С образовалась папка с 2 файлами (14CA6R9HN4QtF3Q так она назвалась) файлы эти я смог удалить а вот папка никак не хочет удаляться выдавая такую же ошибку.
И в дополнение к этому иконки "Мой комп" и "Мои доки" стали иметь вид "нераспозного файла"

 

[Ботан]

Приветствую агент, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

__________________________________________________
С уважением, администрация SafeZone.​

 

[агент]

попробавал переустановить, гугл выдал инфу:Для работы ГХ необходима ОС Windows XP и выше, некоторые функции могут не работать)

у меня стоит ХР

 

[akok]

Сейчас посмотрим.

Добавлено через 9 минут 44 секунды
Необходимо пофиксить в HijackThis следующие строчки

O3 - Toolbar: (no name) - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - (no file)
O4 - Startup: wZKqzubjWtk.exe

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:

   tdsskiller.exe -silent -qmbr -qboot

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
6. Запустите файл TDSSKiller.exe;
7. Нажмите кнопку "Начать проверку";
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

 

[агент]

к п.13 TDSSKiller.exe отчет после проверки


Необходимо пофиксить в HijackThis следующие строчки
Код:

O3 - Toolbar: (no name) - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - (no file)
O4 - Startup: wZKqzubjWtk.exe

03- удачно
04- не хочет фиксится никак, после анализа то же самое в отчете

 

[akok]

агент, готовьте лог MBAM.

После -> AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SetAVZPMStatus(true);
 RebootWindows(false);
end.

Выполните третий стандартный скрипт и приложите лог.

 

[агент]

сделал :
begin
SetAVZPMStatus(true);
RebootWindows(false);
end.

сейчас выполняется 3 скрипт пркладываю лог MBAM.

 

[агент]

третий стандартный скрипт лог

 

[akok]

Повторите сканирование MBAM и удалите следующие строки:

Обнаруженные ключи в реестре:  
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-33CF-AAX5-35GX1C642122} (Backdoor.IRCBot) -> Действие не было предпринято.
HKCU\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.
HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  
HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: ќљљЌ˜ћ‹љ€ћ†Сњђ’ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: ќђЌ˜Иђ™ЖСњђ’ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ќОЙЛϘ…”Сњђ’РНН’ћ…Л†‘’‹—СЏ—Џ -> Действие не было предпринято.

Обнаруженные папки:  
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> Действие не было предпринято.
C:\Documents and Settings\Сергей\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.

Обнаруженные файлы:  
C:\Documents and Settings\Сергей\Application Data\Microsoft\Document Building Blocks\1025\Build\index\reclick32.dll (Backdoor.IRCFlood) -> Действие не было предпринято.
C:\Documents and Settings\Сергей\Application Data\Microsoft\Installer\{B6BCCB80-B3FC-4E97-8513-A7BEE73A5C5A}\reclick32.dll (Backdoor.IRCFlood) -> Действие не было предпринято.
C:\Documents and Settings\Сергей\Главное меню\Программы\Автозагрузка\wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Microsoft\Document Building Blocks\1025\Build\index\71793066.INS (Backdoor.IRCFlood) -> Действие не было предпринято.
D:\АнтиВир\HiJackThis\backups\backup-20120307-152154-711-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\АнтиВир\HiJackThis\backups\backup-20120307-152207-448-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\АнтиВир\HiJackThis\backups\backup-20120307-152255-942-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\АнтиВир\HiJackThis\backups\backup-20120307-154650-660-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Сергей\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

Добавлено через 1 минуту 24 секунды
+

Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, DDS.txt и Attach.txt запакуйте файлы и вложите в сообщение.

Подготовьте лог SecurityCheck by screen317

 

[агент]

немного не понял... где удалять в MBAM???
вот последний лог из MBAM

непонятности всякие пропали, гугл гуглит. Но знаки так и не вернулись на место, плюсом превратились значки диска D E и F в "неопознанные файлы"

 

[агент]

все логи в архиве

 

[akok]

Что необходимо сделать сейчас.

1. Обновить Windows XP до SP3 (возможно потребуется повторная активация).

http://windows.microsoft.com/ru-RU/windows/help/learn-how-to-install-windows-xp-service-pack-3-sp3
http://www.microsoft.com/downloads/ru-ru/details.aspx?familyid=5b33b5a8-5e76-401f-be08-1e1555d4f3d4

2. Обновить Internet Explorer 6 до последней актуальной версии

http://www.microsoft.com/downloads/ru-ru/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b

3. Adobe Reader 9 обновить до последней актуальной версии или деинсталировать.

4. Смените пароли. Зловред который у вас был специализируется на краже паролей.

Добавлено через 2 минуты 38 секунд

Но знаки так и не вернулись на место, плюсом превратились значки диска D E и F в "неопознанные файлы"

Давайте попробуем воспользоваться
Tweak UI -> Repair -> Rebuild Icons -> Repair Now.

Добавлено через 1 минуту 19 секунд
Деинсталируем AVZ
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 ExecuteStdScr(6);
 RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

[агент]

Tweak UI -> Repair -> Rebuild Icons -> Repair Now.
это помогло. Всё вернулось на свои места.
Только вот боюсь обновлять ОС из-за возможной повторной активации.
Мне знакомый её устанавливал, и я не совсем уверен, что она лицензионная)
Заново не смогу активировать

 

[akok]

агент, тогда готовьтесь к постоянным заражениям системы.