• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена вирус

Статус
В этой теме нельзя размещать новые ответы.

агент

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
Здравствуйте. У меня проблема следующая: несколько дней назад бороздя просторы инета я получил на свой комп какую-то заразу. Вроде ничего не произошло особенного, но у меня перестал запускаться гуглхром (попробавал переустановить, гугл выдал инфу:Для работы ГХ необходима ОС Windows XP и выше, некоторые функции могут не работать) и какой-то странный файл wZKqzubjWtk.exe попал в автозагрузку, я его оттуда удалил, но вредный файл время от времени сам там появляется. Через программу AnvirTask Manager элемент автозагрузки не отключается, выдаыая при этом ошибку "Процесс не может получить доступ к файлу, так как он занят другим процессом. Кроме того в корне С образовалась папка с 2 файлами (14CA6R9HN4QtF3Q так она назвалась) файлы эти я смог удалить а вот папка никак не хочет удаляться выдавая такую же ошибку.
И в дополнение к этому иконки "Мой комп" и "Мои доки" стали иметь вид "нераспозного файла"
 

Вложения

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую агент, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
Сейчас посмотрим.

Добавлено через 9 минут 44 секунды
Необходимо пофиксить в HijackThis следующие строчки
Код:
O3 - Toolbar: (no name) - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - (no file)
O4 - Startup: wZKqzubjWtk.exe
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc ([email protected]), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
 

агент

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
к п.13 TDSSKiller.exe отчет после проверки


Необходимо пофиксить в HijackThis следующие строчки
Код:

O3 - Toolbar: (no name) - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - (no file)
O4 - Startup: wZKqzubjWtk.exe

03- удачно
04- не хочет фиксится никак, после анализа то же самое в отчете
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
агент, готовьте лог MBAM.

После -> AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SetAVZPMStatus(true);
 RebootWindows(false);
end.
Выполните третий стандартный скрипт и приложите лог.
 

агент

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
сделал :
begin
SetAVZPMStatus(true);
RebootWindows(false);
end.

сейчас выполняется 3 скрипт пркладываю лог MBAM.
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
Повторите сканирование MBAM и удалите следующие строки:
Код:
Обнаруженные ключи в реестре:  
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-33CF-AAX5-35GX1C642122} (Backdoor.IRCBot) -> Действие не было предпринято.
HKCU\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.
HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  
HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: ќљљЌ˜ћ‹љ€ћ†Сњђ’ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: ќђЌ˜Иђ™ЖСњђ’ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ќОЙЛϘ…”Сњђ’РНН’ћ…Л†‘’‹—СЏ—Џ -> Действие не было предпринято.

Обнаруженные папки:  
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> Действие не было предпринято.
C:\Documents and Settings\Сергей\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.

Обнаруженные файлы:  
C:\Documents and Settings\Сергей\Application Data\Microsoft\Document Building Blocks\1025\Build\index\reclick32.dll (Backdoor.IRCFlood) -> Действие не было предпринято.
C:\Documents and Settings\Сергей\Application Data\Microsoft\Installer\{B6BCCB80-B3FC-4E97-8513-A7BEE73A5C5A}\reclick32.dll (Backdoor.IRCFlood) -> Действие не было предпринято.
C:\Documents and Settings\Сергей\Главное меню\Программы\Автозагрузка\wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Microsoft\Document Building Blocks\1025\Build\index\71793066.INS (Backdoor.IRCFlood) -> Действие не было предпринято.
D:\АнтиВир\HiJackThis\backups\backup-20120307-152154-711-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\АнтиВир\HiJackThis\backups\backup-20120307-152207-448-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\АнтиВир\HiJackThis\backups\backup-20120307-152255-942-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\АнтиВир\HiJackThis\backups\backup-20120307-154650-660-wZKqzubjWtk.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Сергей\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
Добавлено через 1 минуту 24 секунды
+

Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, DDS.txt и Attach.txt запакуйте файлы и вложите в сообщение.

Подготовьте лог SecurityCheck by screen317
 

агент

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
немного не понял... где удалять в MBAM???
вот последний лог из MBAM

непонятности всякие пропали, гугл гуглит. Но знаки так и не вернулись на место, плюсом превратились значки диска D E и F в "неопознанные файлы"
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
Что необходимо сделать сейчас.

1. Обновить Windows XP до SP3 (возможно потребуется повторная активация).
Код:
http://windows.microsoft.com/ru-RU/windows/help/learn-how-to-install-windows-xp-service-pack-3-sp3
http://www.microsoft.com/downloads/ru-ru/details.aspx?familyid=5b33b5a8-5e76-401f-be08-1e1555d4f3d4
2. Обновить Internet Explorer 6 до последней актуальной версии
Код:
http://www.microsoft.com/downloads/ru-ru/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b
3. Adobe Reader 9 обновить до последней актуальной версии или деинсталировать.

4. Смените пароли. Зловред который у вас был специализируется на краже паролей.

Добавлено через 2 минуты 38 секунд
Но знаки так и не вернулись на место, плюсом превратились значки диска D E и F в "неопознанные файлы"
Давайте попробуем воспользоваться
Tweak UI -> Repair -> Rebuild Icons -> Repair Now.

Добавлено через 1 минуту 19 секунд
Деинсталируем AVZ
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ExecuteStdScr(6);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
 

агент

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
Tweak UI -> Repair -> Rebuild Icons -> Repair Now.
это помогло. Всё вернулось на свои места.
Только вот боюсь обновлять ОС из-за возможной повторной активации.
Мне знакомый её устанавливал, и я не совсем уверен, что она лицензионная)
Заново не смогу активировать
 

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
агент, тогда готовьтесь к постоянным заражениям системы.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу