Перейти к содержанию
Правила раздела

Вирус Backdoor.Win32.Gbot.qom в файле igfxtray.exe

3kilos

От 3kilos
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

3kilos Постоялец

3kilos

Опубликовано
Опубликовано

Здравствуйте!

 

Подскажите, пожалуйста, все ли чисто в логах, после удаления вируса в файле igfxtray.exe?

 

Заражение произошло наверно так.

Вчера зашел на сайт rustorka, чтобы скачать другу игру. Пока пользовался поиском, всплывали рекламные баннеры, я их закрывал. Потом Firefox выдал сообщение о том, что заблокирована попытка установки дополнительных плагинов, после чего я ушел с сайта.

 

Сегодня при проверке объектов автозапуска Kaspersky Anti-Virus 7.0 удалил следующий файл: удалено: троянская программа Backdoor.Win32.Gbot.qom Файл: C:\Documents and Settings\имя_пользователя\Главное меню\Программы\Автозагрузка\igfxtray.exe.

После чего произошла перезагрузка, при повторной проверке автозапуска вирусов не было обнаружено.

Потом я сделал проверку Kaspersky Virus Removal Tool 2011, вирусов также не было выявлено.

А когда очищал временные папки, то Kaspersky Anti-Virus нашел и удалил еще такой файл: удалено: троянская программа Backdoor.Win32.Shiz.dkm Файл: C:\WINDOWS\AppPatch\wievlaj.dat.

 

Скажите, пожалуйста, осталось ли что от вирусов в системе?

 

Заранее спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

проверьте наличие такого файла:

c:\Windows\explorer.exe

 

удалите триалресеттер в профиле квипа.

 

ждём ответа.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

Ссылка на комментарий
Поделиться на другие сайты
3kilos Постоялец

3kilos

Опубликовано
  • Автор
Опубликовано
проверьте наличие такого файла:

c:\Windows\explorer.exe

 

удалите триалресеттер в профиле квипа.

 

ждём ответа.

 

Файл explorer.exe в папке Windows есть.

 

Триалресеттер удалил.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

Пофиксите в HijackThis:

F2 - REG:system.ini: Shell=C:\WINDOWS\ERDNT\cache\Explorer.exe

 

сделайте новые логи AVZ

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результ

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
3kilos Постоялец

3kilos

Опубликовано
  • Автор
Опубликовано

Во всех режимах в списке только KAV 7.0.

 

F2 пофиксил в HijackThis.

 

Сделал новые логи в AVZ.

 

Проверка в Malwarebytes' Anti-Malware выполняется.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Во всех режимах в списке только KAV 7.0.

вижу.

драйвера уже нет.

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

ждём лог MBAM

Ссылка на комментарий
Поделиться на другие сайты
3kilos Постоялец

3kilos

Опубликовано
  • Автор
Опубликовано (изменено)
вижу.

драйвера уже нет.

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

ждём лог MBAM

 

 

Лог MBAM.

 

 

Upd.

Интересно, успел ли Backdoor.Win32.Shiz.dkm утащить пароли от сайтов и какие утащил, если успел? :)

Или достаточно поменять те пароли от сайтов, на которые я заходил после появления информации о попытки установки плагина в Firefox?

mbam_log_2011_11_20__20_15_46_.txt

Изменено пользователем 3kilos
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Удалите в МВАМ только указанные строки 
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\15\7e6bf48f-7c8d7b09 (Trojan.Agent) -> No action taken.
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\34\70accee2-76ab7a93 (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP364\A0143720.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP365\A0143887.exe (Trojan.Agent.CK) -> No action taken.
c:\documents and settings\Лёха\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
3kilos Постоялец

3kilos

Опубликовано
  • Автор
Опубликовано
Удалите в МВАМ только указанные строки 
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\15\7e6bf48f-7c8d7b09 (Trojan.Agent) -> No action taken.
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\34\70accee2-76ab7a93 (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP364\A0143720.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP365\A0143887.exe (Trojan.Agent.CK) -> No action taken.
c:\documents and settings\Лёха\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

 

 

+

 

смените все. особенно к конфеденциальной информации.

 

 

Удалил все файлы в MBAM, лог загрузил.

 

Постараюсь сменить многие пароли, но все наверно не получится, уже и не вспомнишь где и когда регистрировался. :)

mbam_log_2011_11_20__23_38_19_.txt

Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано

3kilos,

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
3kilos Постоялец

3kilos

Опубликовано
  • Автор
Опубликовано
3kilos,

 

Обязательно деинсталлируйте MBAM!

 

 

создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы.

 

Хорошо, спасибо, сейчас сделаю.

 

А ничего, если я уже меняю пароли? :) Или рано я начал это делать?)

Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано
А ничего, если я уже меняю пароли? :) Или рано я начал это делать?)

 

Самые важные пароли смените (на электронные кошельки и т.п), потом - все остальное )

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • Gistap
      Два файла Dwm.exe
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

    • jiil
      Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Salieri
      Заразился вирусом
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
×
×
  • Создать...