• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Помогите пожалуйста удалить трояна.

Статус
В этой теме нельзя размещать новые ответы.

Bambino

Активный пользователь
Сообщения
12
Симпатии
0
#1
Добрый вечер! Комп начал подвисать. Все из-за него Trojan. DownLoad3. 4061 C:\News\news.exe - ни как не могу от него избавиться...очень прошу вас помочь в этом. Заранее спасибо!
 

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую Bambino, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

Bambino

Активный пользователь
Сообщения
12
Симпатии
0
#4
Подготавливаю все логи...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,564
#6
Здравствуйте. Сейчас посмотрю логи.

Добавлено через 18 минут 43 секунды
Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Bambino\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mail.exe','');
 QuarantineFile('D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe','');
 QuarantineFile('C:\News\news.exe','');
 QuarantineFile('C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\9.mdd','');
 QuarantineFile('C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\12.mdd','');
 QuarantineFile('C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\1.mdd','');
 QuarantineFile('C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\0.mdd','');
 QuarantineFileF('C:\News','*', true,'',0 ,0);
 DeleteFile('C:\News\news.exe');
 DeleteFileMask('C:\News', '*', true);
 DeleteDirectory('C:\News',' ');
 DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','News');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки AVZ отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

C:\Users\Bambino\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mail.exe - вам знакомо ?
А также программа D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe знакома ? (это похоже adware программа OCR распознавания текста).

что с проблемой ?
 
Последнее редактирование:

Bambino

Активный пользователь
Сообщения
12
Симпатии
0
#7
Полученный архив quarantine.zip из папки AVZ отправьте с помощью этой формы, - не открывает ссылку (504 Gateway Time-out)
Сделал новые логи virusinfo_syscheck.zip; log.txt, info.txt.
C:\Users\Bambino\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mail.exe - Возможно это мэйл агент!?
D:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe - программа от сканера шла в драйверах.
На счет C:\News\news.exe - он остался на прежнем.месте - удалить в ручную или что (просто я не так хорошо шарю в этом)?
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,564
#9
Полученный архив quarantine.zip из папки AVZ отправьте с помощью этой формы, - не открывает ссылку (504 Gateway Time-out)
похоже сайт временно недоступен, попытайтесь отправить попозже или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 

iskander-k

Ассоциация VN/VIP
VIP
Сообщения
3,727
Симпатии
2,427
#10
Bambino, Вы не ссылку на скачивание пришлите , а сам архив.
 

Bambino

Активный пользователь
Сообщения
12
Симпатии
0
#11
да я бы с радостью, но файлы превышающие объем 20 мб отправляются как ссылкой на скачивание. Есть предложения как вам отправить файлом? :blush:
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,564
#12
Загрузите файлы сюда http://rghost.ru/ ссылку на скачивание скиньте мне через личные сообщения.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,836
Симпатии
5,564
#14
Bambino, посмотрите присутствуют ли на компьютере файлы

Код:
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\1.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\10.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\11.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\12.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\13.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\14.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\15.mdd
 C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\16.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\18.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\2.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\20.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\21.mdd
 C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\22.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\4.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\5.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\6.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\8.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\9.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\0.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\17.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\3.mdd
C:\Users\Bambino\AppData\Local\Temp\wrd-8e8-8ec-9a54.~lk\7.mdd
если они есть, то запакуйте их в zip архив с паролем virus и тоже пришлите на почту. А также прикрепите лог полного сканировая MBAM.

Остальные рекомендации дам уже завтра.
 

Bambino

Активный пользователь
Сообщения
12
Симпатии
0
#15
По данному адресу C:\Users\Bambino\AppData\Local\Temp такие файлы отсутствуют. Лог полного сканировая MBAM прикреплю после завершения сканирования...

Добавлено через 14 минут 24 секунды
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Версия базы данных: v2012.04.08.05

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Bambino :: BAMBINO-ПК [администратор]

08.04.2012 23:04:20
mbam-log-2012-04-08 (23-04-20).txt

Тип сканирования: Полное сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 357497
Времени прошло: 1 часов , 12 минут , 53 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 27
C:\Windows\System32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
C:\Program Files\Total Commander\Wcmikons.dll (Trojan.FakeAlert) -> Помещено в карантин и успешно удалено.
D:\Program Files\Adobe\Adobe Photoshop CS5\adobe_PS_CS5_keygen.exe (Malware.Packer.Gen) -> Помещено в карантин и успешно удалено.
D:\Program Files\Программы\PhotoshopCS5rus_keymaker\adobe_PS_CS5_keygen\adobe_PS_CS5_keygen.exe (Malware.Packer.Gen) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{D7E4711B-341A-4453-8486-C7D2AC973702}\RP146\A0182984.exe (Joke.Stressreducer) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{D7E4711B-341A-4453-8486-C7D2AC973702}\RP147\A0189446.exe (Joke.Stressreducer) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP148\A0034973.exe (Spyware.OnlineGames.Gen) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{7895B704-9DD9-47DF-ACA3-8C4D6436DC54}\RP153\A0037288.exe (Virus.Expiro) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023270.exe (Malware.Gen) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023271.exe (Malware.Packer.Krunchy) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023320.exe (PUP.Joke.RJLSoftware) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023338.exe (PUP.Joke.RJLSoftware) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023339.exe (PUP.Joke.Buttons) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023355.exe (Joke.VV) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP114\A0023495.exe (Spyware.Passwords) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP121\A0025518.exe (Malware.Packer.Krunchy) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031674.exe (Malware.Gen) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031675.exe (Malware.Packer.Krunchy) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031724.exe (PUP.Joke.RJLSoftware) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031740.exe (PUP.Joke.RJLSoftware) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031741.exe (PUP.Joke.Buttons) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031757.exe (Joke.VV) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP140\A0031808.exe (Spyware.Passwords) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP141\A0033217.EXE (PUP.Joke.Bazarbox) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP98\A0018754.EXE (PUP.Joke.Bazarbox) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP99\A0018906.exe (JokeApp.NotFunny) -> Помещено в карантин и успешно удалено.
E:\System Volume Information\_restore{ED5578EE-21EB-412B-954C-C2E9870493BE}\RP99\A0018907.EXE (PUP.Joke.Bazarbox) -> Помещено в карантин и успешно удалено.

(конец)
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#16
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\bambino\appdata\roaming\microsoft\windows\start menu\programs\startup\mail.exe');
 DeleteFile('c:\users\bambino\appdata\roaming\microsoft\windows\start menu\programs\startup\mail.exe');
DeleteFile('C:\News\news.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Сделайте новые логи
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#18

Bambino

Активный пользователь
Сообщения
12
Симпатии
0
#19
Сделал
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#20
Java(TM) 6 Update 24 Java version out of date! - обновите Java

Как самочувствие системы?
 
Статус
В этой теме нельзя размещать новые ответы.