• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Win32:Confi Wrm

Статус
В этой теме нельзя размещать новые ответы.

FullDarkness

Активный пользователь
Сообщения
15
Реакции
0
Баллы
301
Всем привет! Помогите побороть червя Kido =) KidoKiller ничего не находит кроме задания At1.job... аваст постоянно убивает его в system32 там какой то набор букв с расширением vc... Чем бы не пытался сканировать и лечить вирус не обнаруживается и постоянно появляется вновь вместе с заданием...
 

Вложения

  • info.txt
    39.1 KB · Просмотры: 1
  • log.txt
    30.3 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    20.9 KB · Просмотры: 2
  • virusinfo_syscure.zip
    21.2 KB · Просмотры: 2

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую FullDarkness, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Ни каких следов Kido у вас не обнаружено.

Если это не ваша настройка Proxy:
1. Пофиксите в HJT эти строки
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = vserver:8080

2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
 

FullDarkness

Активный пользователь
Сообщения
15
Реакции
0
Баллы
301
Прокси моя...
систему просканировал ничего такого не нашла... сам файлик drfpucn.vc переодично удаляется авастом... видимо как только появляется так и удаляется...
Вот что можно разобрать из задания C:\Windows\tasks\At1.job
rundll32.exe drfpucn.vc, xfdquksr
NetScheduleJobAdd
 

Вложения

  • MBAM-log-2013-02-04 (15-11-26).txt
    3.4 KB · Просмотры: 3

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
1) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
C:\Users\admin.VATREME.001\AppData\Local\Thinstall\Cache\Stubs\1227f053d6da2f2859d270fdc3089114ec7f4\neocleaner.exe (Trojan.Backdoor) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

2) сделайте логи полиморфным AVZ (базы от 11.11.12) и прикрепите их к сообщению.

3) Откройте в блокноте
Код:
C:\Windows\tasks\At1.job
и напишите тут всё его содержимое включая крякозябры.

4) Удалите этот файл вручную, сделайте новые логи RSIT
 
Последнее редактирование:

FullDarkness

Активный пользователь
Сообщения
15
Реакции
0
Баллы
301
1) сделал
2) по подробнее не понял как и тчо значит полиморфным и что в архиве?
3) Я открывал смотрел и присылал что есть текст не копируется а кракозябл таких и на клавиатуре в помине небыло...
4) сделал
 

Вложения

  • MBAM-log-2013-02-05 (13-21-55).txt
    2.5 KB · Просмотры: 2
  • info.txt
    40.4 KB · Просмотры: 0
  • log.txt
    33.4 KB · Просмотры: 2

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
3) Я открывал смотрел и присылал что есть текст не копируется а кракозябл таких и на клавиатуре в помине небыло...
полностью выделите весь текст и скопируйте сюда.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
2) по подробнее не понял как и тчо значит полиморфным и что в архиве?
там в архиве переименованный AVZ надо было скачать его распаковать и сделать логи им, но если вы уже удалили этот файл - шаг №4 то шаги №2 и №3 получаются уже не актуальны.
 

FullDarkness

Активный пользователь
Сообщения
15
Реакции
0
Баллы
301
Почему не актуально? Этот файл уже давно вернулся... оба файла восстанавливаются откуда то...

Добавлено через 46 секунд
Как этим авз сканировать? Скрипт 2 и 3 использовать?

Добавлено через 2 минуты 56 секунд
когда я открываю файл at1.job мне блокнот ругается что он бинарный после чего всеже открывается но скопировать ничего оттуда не дает... я могу если только перепечатать вам или запаковать сам файл и отправить вам... сами откроете и посмотрете
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Это доменное имя вам знакомо?

Добавлено через 11 минут 37 секунд
1. Если оно вам не знакомо, тогда Пофиксите в HJT эти строки
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vatreme.com
O17 - HKLM\Software\..\Telephony: DomainName = vatreme.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vatreme.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vatreme.com
2. Затем очистите кэш DNS: в командной строке, запущенной от администратора
("Пуск"=>Введите cmd => По найденному объекту кликните правой кнопкой мыши и выберите пункт Запустить с правами администратора"), выполните:
3. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 

FullDarkness

Активный пользователь
Сообщения
15
Реакции
0
Баллы
301
Домен знаком...
кэш днс чистить при этом?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Тогда не стоит, делайте ComboFix.
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Ждем запрошенные логи.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу