Решена Рабочий комп заболел Trojan.Win32.Generic

Статус
В этой теме нельзя размещать новые ответы.

Илья312

Активный пользователь
Сообщения
20
Реакции
2
Баллы
83
Компьютер с установленным АРМ и антивирусом Касперского для WorkStation 6, подключен к Интернету через локальную сеть. ОС WinXP Начали закрадываться подозрения, после нескольких часов работы и запустил полную проверку проверку Каспер нашел несколько вирусов в общей папке (подкаталоги beloff_12.07 DVD? EXTREM (D)). Удалил, после перезагрузки и повторной проверки троян перекочевал в Microsoft_Access_2007 (в Document and Settings), файл помещен на карантин.

Третья проверка показала что комп чист, однако подозрения не исчезли. Прикладываю логи AVZ и HJT,

Подскажите как можно папки BELOFF_DVD 12.07 И EXTREM поместить на карантин, KIS вроде позволял кидать целые папки, на этой машине установлен только workstation 6?
 

Вложения

  • virusinfo_syscheck.zip
    23.8 KB · Просмотры: 0
  • virusinfo_syscure.zip
    26 KB · Просмотры: 0
  • hijackthis.log
    7.5 KB · Просмотры: 0

Илья312

Активный пользователь
Сообщения
20
Реакции
2
Баллы
83
Извините мою невнимательность, по старой привычке все вручную делал. Вот,

Вспомнил, мб будет полезна информация.
При открытой Опере, иногда вылазит новое окно со множеством вкладок рекламного характера. Перед тем, что описал в стартовом посте, решил почистить кэш IE, Opera (Снес Amigo и сервисы Mail.ru, Спутник), отключил все плагины оперы. Так вирус и нашел.
 

Вложения

  • CollectionLog-2016.06.20-17.35.zip
    66.9 KB · Просмотры: 8
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,597
Реакции
6,037
Баллы
808
Здравствуйте, Илья312!

Заархивируйте с паролем virus папку
C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки
и отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на эту тему в заголовке сообщения и с указанием пароля: virus в теле письма.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,884
Реакции
2,588
Баллы
683
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search



Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.
 

Илья312

Активный пользователь
Сообщения
20
Реакции
2
Баллы
83
Извините за задержку, из дома к рабочему компу доступа не имею
Dragokas, файл выслан по вышеуказанной ссылке, размером -6кб (применялся 7-zip).
thyrex, пофиксил, вот отчет:
ClearLNK by Alex Dragokas ver. 2.9.0.7

OS: x32 Windows XP Professional, 5.1.2600, Service Pack: 3
Time: 21.06.2016 - 11:38
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
User: User (group: Administrator). SM=Personal + SingleUserTS, PT=Workstation.

_____________________________ Начало лога ______________________________
.
[ OK ] 1 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Internet Explorer (2).lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ] (Метод R5-A2) (ОК)
[ OK ] 2 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Internet Explorer.lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ] (Метод R5-A2) (ОК)
[ OK ] 3 "C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" hxxp://www.mail.ru ] (Метод RN-S) (ОК)
.
[DEL ] 4 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Одноклассники.lnk" (цель не восстановлена)
[DEL ] 5 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Войти в Интернет.lnk" (цель не восстановлена)
[DEL ] 6 "C:\Documents and Settings\User\Рабочий стол\KitchenDraw.lnk" (цель не восстановлена)
[DEL ] 7 "C:\Documents and Settings\User\Рабочий стол\Ярлык для архив 2015.lnk" (цель не восстановлена)
[DEL ] 8 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Canon LASER SHOT LBP-1120.LNK" (цель не восстановлена)
[DEL ] 9 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Continue EMS SQL Manager 2007 Lite for DB2 Installation.lnk" (цель не восстановлена)
[DEL ] 10 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Continue Logic Architect Installation.lnk" (цель не восстановлена)
[DEL ] 11 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Wireless Connection Manager.lnk" (цель не восстановлена)
[DEL ] 12 "C:\Documents and Settings\User\Рабочий стол\Письма\Нотариат 2013\наследства\5-2013\04-2004.lnk" (цель не восстановлена)
[DEL ] 13 "C:\Documents and Settings\All Users\Главное меню\Программы\Microsoft Visual Basic 6.0\Microsoft Visual Basic 6.0.lnk" (цель не восстановлена)
[DEL ] 14 "C:\Documents and Settings\All Users\Главное меню\Программы\Microsoft Visual Basic 6.0\Microsoft Visual Basic 6.0 Tools\Package & Deployment Wizard.lnk" (цель не восстановлена)
[DEL ] 15 "C:\Documents and Settings\All Users\Главное меню\Программы\Информационная система еНот\Руководство пользователя.lnk" (цель не восстановлена)
[DEL ] 16 "C:\Documents and Settings\All Users\Главное меню\Программы\Информационная система еНот\Сайт в Интернет.lnk" (цель не восстановлена)
[DEL ] 17 "C:\Documents and Settings\All Users\Избранное\Mail.Ru.url"
.

______________________________ Статистика ______________________________
Лечение запущено: 1 раз за сегодня.

Всего обработано: 17

Исправлено: 3
Удалено: 14
____________________________ Конец отчета ______________________________CRC32: 9714B421
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,597
Реакции
6,037
Баллы
808

Илья312

Активный пользователь
Сообщения
20
Реакции
2
Баллы
83
Отправил карантин по почте, тело письма содержит информацию что оно пересылаемое,в первый раз не удалось отправить.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,597
Реакции
6,037
Баллы
808
К сожалению, присланное Вами письмо не содержит вложения.
 

Илья312

Активный пользователь
Сообщения
20
Реакции
2
Баллы
83
к сожалению по указанному адресу не получается отправить письмо, вот что сообщает yandex
<quarantine@safezone.cc>: host aspmx.l.google.com[2a00:1

450:4010:c04::1b] said:
552-5.7.0 This message was blocked because its content presents a potential
552-5.7.0 security issue. Please visit 552-5.7.0
Some file types are blocked - Gmail Help to review our message 552 5.7.0
content and attachment content guidelines. l126si302532lfd.17 - gsmtp (in
reply to end of DATA command)

Статус доставки:

Reporting-MTA: dns; forward1m.cmail.yandex.ne
t
X-Yandex-Queue-ID: 1AC1121112
X-Yandex-Sender: rfc822; dormin312@yandex.ru
Arrival-Date: Wed, 22 Jun 2016 17:12:14 +0300 (MSK)

Final-Recipient: rfc822; quarantine@safezone.cc
Original-Recipient: rfc822;quarantine@safezone.cc
Action: failed
Status: 5.7.0
Remote-MTA: dns; aspmx.l.google.com
Diagnostic-Code: smtp; 552-5.7.0 This message was blocked because its content
presents a potential 552-5.7.0 security issue. Please visit 552-5.7.0
Some file types are blocked - Gmail Help to review our message 552 5.7.0
content and attachment content guidelines. l126si302532lfd.17 - gsmtp

укажите, пожалуйста, другой адрес почты или способ отправки письма с карантином.
Теперь и сам понял, вложения блокирует )))
Переслал повторно, может быть рамблер не будет придираться Р
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,597
Реакции
6,037
Баллы
808
Потому что при пересылке некоторые почтовые службы отсоединяют вложения.
Необходимо просто заново создать письмо (не нажимая кнопку "Переслать").
Закачайте архив через файлообменник, например rghost.ru и пришлите ссылку сюда.
 

Илья312

Активный пользователь
Сообщения
20
Реакции
2
Баллы
83
выполнено, пароль для скачивания safezone
 
Последнее редактирование модератором:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,597
Реакции
6,037
Баллы
808
И какой пароль?
 

Илья312

Активный пользователь
Сообщения
20
Реакции
2
Баллы
83
проверил - ссылка выводится при вводе safezone, все скачивается свободно.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,597
Реакции
6,037
Баллы
808
Пожалуйста, распакуйте этот архив у себя и запустите ярлык Internet Explorer (2)
Скажите, запускается ли через него браузер?
 

Илья312

Активный пользователь
Сообщения
20
Реакции
2
Баллы
83
Да, запускается IE, запускал с другого компьютера, который не в конторе, открыл версию IE9. Не могу знать наверняка, возможно, просто когда то бывший пользователь скопировал ярлык, но сумма MD5 не читается.
 

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Запустите AVZ - сервис - поиск данных по реестру - введите webalta - все найденное сохраните в файл и прикрепите.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Илья312

Активный пользователь
Сообщения
20
Реакции
2
Баллы
83
Koza Nozdri, прикрепляю отчет. Остатки от mail.ru видимо не все удалились (или они вернулись), по остальным пунктам, жду ваших рекомендаций, не буду рисковать.
 

Вложения

  • AdwCleaner[S1].txt
    2.6 KB · Просмотры: 2

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,884
Реакции
2,588
Баллы
683
Отметьте и удалите все найденное.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению
 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу