[решено] Trojan подхватил) - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Trojan подхватил) (http://forum.oszone.net/showthread.php?t=216226)

Trojan подхватил)

Доброго времени суток! Вчера вставил флешку которую давал другу и вуоля там все в ярлыках, все папки все файлы. т.е. при клике на ярлык папки открывается цмд строка а патом уже папка. в итогде проверяя комп касперычем я обнаружил уйму троянов. но на телефоне (не был подключен во время заражения) тоже такая беда сейчас почемуто. недавно было все норм. как устронить такой дефект? и еще вопросик в вин7 не могу зайти в диспетчере задач во влкдку отображения всех задач для всех пользователей. тоже открывается цмд и закрывается диспетчер. также нашол в реестре рег файл троянчика , удаляю его, захажу занново а он уже там. как избавиться?

Выложите логи в соответствии с этими инструкциями.

вот логи. и вот скрин того что блин запускается при старте системы. хз как удалить

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SetAVZGuardStatus(True);

 QuarantineFile('C:\Users\UndeR\Desktop\CRACK\crack_cm.exe','');

 QuarantineFile('C:\Windows\system32\dllhost.exe','');

 QuarantineFile('C:\Windows\Installer\ac4e2d8.msi','');

 QuarantineFile('C:\Users\UndeR\AppData\Roaming\Tduyur.exe','');

QuarantineFile('c:\program files\application updater\applicationupdater.exe','');

 DeleteFile('C:\Users\UndeR\AppData\Roaming\Tduyur.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok -Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

ну а подскажите что делать с моими папками на накопителях??? у них значки ярлыков , при запуске вылазит командная строка и через пару сикунд в задачах висит процесс с 99% загрузки цп. уже и форматировал флешку и проверял

обязательно отключаем автозапуск со сменных носителей, кроме CDROM.
Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

Код:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

И давайте, подробнее про свои ярлыки:
1) кроме левых ярлыков на флеше и папок с данными видны другие папки? например, RECYCLER?
2) папки с данными на флешке надо сохранить куда-нибудь (если нужны, конечно).
3) Смотрим в свойствах ярлыка на флешке есть такая строка?:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e******.exe (имя файла произвольное)
Если такая строка есть, удаляем папку RECYCLER с телом вируса, удаляем все ярлыки (папки с данными мы сохранили:смотрим выше)

далее, логи делали с подключенной флеш?
если нет, переделываем

и лог МВАМ конечно нужен

блин жалко вы не обьяснили что после проверки делать. удалять ли найденые файлы. ну вот лог по идее его.

Recycler есть но свойства "системный"
вот свойства этих ярлыков
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\f4448e25.exe &&%windir%\explorer.exe %cd%Заочка

удалите в МВАМ

Код:

Зараженные параметры в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> No action taken.



Зараженные файлы:

c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.

c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> No action taken.

c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll.6 (Adware.WidgiToolbar) -> No action taken.

c:\Users\UndeR\AppData\Roaming\5EB2.exe (Trojan.BCMiner) -> No action taken.

c:\Users\UndeR\AppData\Roaming\90AA.exe (Trojan.BCMiner) -> No action taken.

c:\Users\UndeR\AppData\Roaming\D799.exe (Trojan.BCMiner) -> No action taken.

c:\Users\UndeR\Desktop\флешка епт\autodesk_actrix_technical_2000_v2.0.346 (1)\SETUP.EXE (Heuristics.Shuriken) -> No action taken.

c:\Users\UndeR\Desktop\avz4\quarantine\2011-09-23\avz00003.dta (Trojan.Agent) -> No action taken.

c:\Users\UndeR\downloads\vkbot (1).exe (Trojan.Agent) -> No action taken.

c:\Users\UndeR\downloads\vkbot (2).exe (Trojan.Agent) -> No action taken.

c:\Users\UndeR\downloads\vkbot (3).exe (Trojan.Agent) -> No action taken.

c:\Users\UndeR\downloads\VkBot.exe (Trojan.Agent) -> No action taken.

c:\Users\UndeR\start menu\Programs\Startup\stepx2.exe (Trojan.BCMiner) -> No action taken.

c:\Users\UndeR\AppData\Roaming\edil6ktltgd6 (Malware.Trace) -> No action taken.

c:\Users\UndeR\AppData\Local\Temp\x30811.exe (PUP.BCMiner) -> No action taken.

с флеши удаляем тело вируса из папки RECYCLER и можно форматировать...
логи АВЗ + RSIT повторите для контроля

Почему не удалили найденное в МВАМ?

хорошо, давайте еще раз

Как удалять с помощю MBAM указанные в теме элементы?
- Запустите MBAM
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).

Код:

Зараженные параметры в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> No action taken.



Зараженные файлы:

c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.

c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> No action taken.

c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll.6 (Adware.WidgiToolbar) -> No action taken.

c:\Users\UndeR\AppData\Local\virtualstore\Windows\System32\Sys32\LUFO.006 (PUP.ArdamaxKeyLogger) -> No action taken.

c:\Users\UndeR\AppData\Local\virtualstore\Windows\System32\Sys32\LUFO.007 (PUP.ArdamaxKeyLogger) -> No action taken.

c:\Users\UndeR\AppData\Roaming\5EB2.exe (Trojan.BCMiner) -> No action taken.

c:\Users\UndeR\AppData\Roaming\90AA.exe (Trojan.BCMiner) -> No action taken.

c:\Users\UndeR\AppData\Roaming\D799.exe (Trojan.BCMiner) -> No action taken.

c:\Users\UndeR\Desktop\флешка епт\autodesk_actrix_technical_2000_v2.0.346 (1)\SETUP.EXE (Heuristics.Shuriken) -> No action taken.

c:\Users\UndeR\downloads\vkbot (1).exe (Trojan.Agent) -> No action taken.

c:\Users\UndeR\downloads\vkbot (2).exe (Trojan.Agent) -> No action taken.

c:\Users\UndeR\downloads\vkbot (3).exe (Trojan.Agent) -> No action taken.

c:\Users\UndeR\downloads\VkBot.exe (Trojan.Agent) -> No action taken.

c:\Users\UndeR\start menu\Programs\Startup\stepx2.exe (Trojan.BCMiner) -> No action taken.

c:\FPC\turbo pascal\BIN\MAKE.EXE (Trojan.Agent) -> No action taken.

c:\Users\UndeR\AppData\Roaming\edil6ktltgd6 (Malware.Trace) -> No action taken.

c:\Users\UndeR\AppData\Local\Temp\x30811.exe (PUP.BCMiner) -> No action taken.

далее, правим hosts

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

 ExecuteRepair(13);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

затем заходим по пути
C:Windows/System32/drivers/etc/hosts открываем файл блокнотом и вносим ваши записи обратно

Код:

127.0.0.1 serial.alcohol-soft.com

 127.0.0.1 www.alcohol-soft.com

127.0.0.1 images.alcohol-soft.com

 127.0.0.1 trial.alcohol-soft.com

127.0.0.1 alcohol-soft.com

127.0.0.1 adobeereg.com

127.0.0.1 http://www.adobeereg.com

127.0.0.1 activate.adobe.com

127.0.0.1 activate-sea.adobe.com

127.0.0.1 activate-sjc0.adobe.com

127.0.0.1 wwis-dubc1-vip60.adobe.com

127.0.0.1 192.150.18.108

127.0.0.1 activate.adobe.com:443

сохраняем

лог HijackThis выполните и приложите

"CommFort_server.exe" = "Опасно - отладчик процесса "CommFort_server.exe"" - это ваше? устанавливали ?
проверьте C:\Users\UndeR\Desktop\CRACK\crack_cm.exe на http://www.virustotal.com , ссылку сюда на проверку
что с проблемой?

ну проблему уже вроде бы решил. на телефоне уже нормально, на флешке тоже. пока следов активности нету. комфорт это мой. эт кряк для проги) а что с хостом не так??? и что скрипт делает?

"Вконтакте" заходите?

HijackThis лог сделайте

ну да захажу) я ж хост читал все окей. что писал то и есть вроде.