Перейти к содержанию
Правила раздела

Вирус Backdoor.Win32.Gbot.qom в файле igfxtray.exe

3kilos

От 3kilos
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

3kilos Постоялец

3kilos

Опубликовано
Опубликовано

Здравствуйте!

 

Подскажите, пожалуйста, все ли чисто в логах, после удаления вируса в файле igfxtray.exe?

 

Заражение произошло наверно так.

Вчера зашел на сайт rustorka, чтобы скачать другу игру. Пока пользовался поиском, всплывали рекламные баннеры, я их закрывал. Потом Firefox выдал сообщение о том, что заблокирована попытка установки дополнительных плагинов, после чего я ушел с сайта.

 

Сегодня при проверке объектов автозапуска Kaspersky Anti-Virus 7.0 удалил следующий файл: удалено: троянская программа Backdoor.Win32.Gbot.qom Файл: C:\Documents and Settings\имя_пользователя\Главное меню\Программы\Автозагрузка\igfxtray.exe.

После чего произошла перезагрузка, при повторной проверке автозапуска вирусов не было обнаружено.

Потом я сделал проверку Kaspersky Virus Removal Tool 2011, вирусов также не было выявлено.

А когда очищал временные папки, то Kaspersky Anti-Virus нашел и удалил еще такой файл: удалено: троянская программа Backdoor.Win32.Shiz.dkm Файл: C:\WINDOWS\AppPatch\wievlaj.dat.

 

Скажите, пожалуйста, осталось ли что от вирусов в системе?

 

Заранее спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

проверьте наличие такого файла:

c:\Windows\explorer.exe

 

удалите триалресеттер в профиле квипа.

 

ждём ответа.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

Ссылка на комментарий
Поделиться на другие сайты
3kilos Постоялец

3kilos

Опубликовано
  • Автор
Опубликовано
проверьте наличие такого файла:

c:\Windows\explorer.exe

 

удалите триалресеттер в профиле квипа.

 

ждём ответа.

 

Файл explorer.exe в папке Windows есть.

 

Триалресеттер удалил.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

Пофиксите в HijackThis:

F2 - REG:system.ini: Shell=C:\WINDOWS\ERDNT\cache\Explorer.exe

 

сделайте новые логи AVZ

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результ

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
3kilos Постоялец

3kilos

Опубликовано
  • Автор
Опубликовано

Во всех режимах в списке только KAV 7.0.

 

F2 пофиксил в HijackThis.

 

Сделал новые логи в AVZ.

 

Проверка в Malwarebytes' Anti-Malware выполняется.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Во всех режимах в списке только KAV 7.0.

вижу.

драйвера уже нет.

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

ждём лог MBAM

Ссылка на комментарий
Поделиться на другие сайты
3kilos Постоялец

3kilos

Опубликовано
  • Автор
Опубликовано (изменено)
вижу.

драйвера уже нет.

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

ждём лог MBAM

 

 

Лог MBAM.

 

 

Upd.

Интересно, успел ли Backdoor.Win32.Shiz.dkm утащить пароли от сайтов и какие утащил, если успел? :)

Или достаточно поменять те пароли от сайтов, на которые я заходил после появления информации о попытки установки плагина в Firefox?

mbam_log_2011_11_20__20_15_46_.txt

Изменено пользователем 3kilos
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Удалите в МВАМ только указанные строки 
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\15\7e6bf48f-7c8d7b09 (Trojan.Agent) -> No action taken.
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\34\70accee2-76ab7a93 (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP364\A0143720.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP365\A0143887.exe (Trojan.Agent.CK) -> No action taken.
c:\documents and settings\Лёха\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
3kilos Постоялец

3kilos

Опубликовано
  • Автор
Опубликовано
Удалите в МВАМ только указанные строки 
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\15\7e6bf48f-7c8d7b09 (Trojan.Agent) -> No action taken.
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\34\70accee2-76ab7a93 (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP364\A0143720.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP365\A0143887.exe (Trojan.Agent.CK) -> No action taken.
c:\documents and settings\Лёха\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

 

 

+

 

смените все. особенно к конфеденциальной информации.

 

 

Удалил все файлы в MBAM, лог загрузил.

 

Постараюсь сменить многие пароли, но все наверно не получится, уже и не вспомнишь где и когда регистрировался. :)

mbam_log_2011_11_20__23_38_19_.txt

Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано

3kilos,

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
3kilos Постоялец

3kilos

Опубликовано
  • Автор
Опубликовано
3kilos,

 

Обязательно деинсталлируйте MBAM!

 

 

создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы.

 

Хорошо, спасибо, сейчас сделаю.

 

А ничего, если я уже меняю пароли? :) Или рано я начал это делать?)

Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано
А ничего, если я уже меняю пароли? :) Или рано я начал это делать?)

 

Самые важные пароли смените (на электронные кошельки и т.п), потом - все остальное )

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Freudis
      Вирусы под систем файлами
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • mappey3
      поймали шифровальный вирус (Файл "WBMVRWKMD" (.wbmVRwkmD))
      От mappey3
      все файлы зашифрованы как быть с этим?

    • Freeman80S
      Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron
      От Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
×
×
  • Создать...