Перейти к содержанию

Вирус Backdoor.Win32.Gbot.qom в файле igfxtray.exe


Рекомендуемые сообщения

Здравствуйте!

 

Подскажите, пожалуйста, все ли чисто в логах, после удаления вируса в файле igfxtray.exe?

 

Заражение произошло наверно так.

Вчера зашел на сайт rustorka, чтобы скачать другу игру. Пока пользовался поиском, всплывали рекламные баннеры, я их закрывал. Потом Firefox выдал сообщение о том, что заблокирована попытка установки дополнительных плагинов, после чего я ушел с сайта.

 

Сегодня при проверке объектов автозапуска Kaspersky Anti-Virus 7.0 удалил следующий файл: удалено: троянская программа Backdoor.Win32.Gbot.qom Файл: C:\Documents and Settings\имя_пользователя\Главное меню\Программы\Автозагрузка\igfxtray.exe.

После чего произошла перезагрузка, при повторной проверке автозапуска вирусов не было обнаружено.

Потом я сделал проверку Kaspersky Virus Removal Tool 2011, вирусов также не было выявлено.

А когда очищал временные папки, то Kaspersky Anti-Virus нашел и удалил еще такой файл: удалено: троянская программа Backdoor.Win32.Shiz.dkm Файл: C:\WINDOWS\AppPatch\wievlaj.dat.

 

Скажите, пожалуйста, осталось ли что от вирусов в системе?

 

Заранее спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Ссылка на комментарий
Поделиться на другие сайты

проверьте наличие такого файла:

c:\Windows\explorer.exe

 

удалите триалресеттер в профиле квипа.

 

ждём ответа.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

Ссылка на комментарий
Поделиться на другие сайты

проверьте наличие такого файла:

c:\Windows\explorer.exe

 

удалите триалресеттер в профиле квипа.

 

ждём ответа.

 

Файл explorer.exe в папке Windows есть.

 

Триалресеттер удалил.

Ссылка на комментарий
Поделиться на другие сайты

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

Пофиксите в HijackThis:

F2 - REG:system.ini: Shell=C:\WINDOWS\ERDNT\cache\Explorer.exe

 

сделайте новые логи AVZ

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результ

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Во всех режимах в списке только KAV 7.0.

 

F2 пофиксил в HijackThis.

 

Сделал новые логи в AVZ.

 

Проверка в Malwarebytes' Anti-Malware выполняется.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Во всех режимах в списке только KAV 7.0.

вижу.

драйвера уже нет.

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

ждём лог MBAM

Ссылка на комментарий
Поделиться на другие сайты

вижу.

драйвера уже нет.

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

ждём лог MBAM

 

 

Лог MBAM.

 

 

Upd.

Интересно, успел ли Backdoor.Win32.Shiz.dkm утащить пароли от сайтов и какие утащил, если успел? :)

Или достаточно поменять те пароли от сайтов, на которые я заходил после появления информации о попытки установки плагина в Firefox?

mbam_log_2011_11_20__20_15_46_.txt

Изменено пользователем 3kilos
Ссылка на комментарий
Поделиться на другие сайты

Удалите в МВАМ только указанные строки
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\15\7e6bf48f-7c8d7b09 (Trojan.Agent) -> No action taken.
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\34\70accee2-76ab7a93 (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP364\A0143720.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP365\A0143887.exe (Trojan.Agent.CK) -> No action taken.
c:\documents and settings\Лёха\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Удалите в МВАМ только указанные строки
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\15\7e6bf48f-7c8d7b09 (Trojan.Agent) -> No action taken.
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\34\70accee2-76ab7a93 (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP364\A0143720.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP365\A0143887.exe (Trojan.Agent.CK) -> No action taken.
c:\documents and settings\Лёха\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

 

 

+

 

смените все. особенно к конфеденциальной информации.

 

 

Удалил все файлы в MBAM, лог загрузил.

 

Постараюсь сменить многие пароли, но все наверно не получится, уже и не вспомнишь где и когда регистрировался. :)

mbam_log_2011_11_20__23_38_19_.txt

Ссылка на комментарий
Поделиться на другие сайты

3kilos,

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

3kilos,

 

Обязательно деинсталлируйте MBAM!

 

 

создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы.

 

Хорошо, спасибо, сейчас сделаю.

 

А ничего, если я уже меняю пароли? :) Или рано я начал это делать?)

Ссылка на комментарий
Поделиться на другие сайты

А ничего, если я уже меняю пароли? :) Или рано я начал это делать?)

 

Самые важные пароли смените (на электронные кошельки и т.п), потом - все остальное )

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • godstar
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • zsvnet
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • вася1525
      Автор вася1525
      virusinfo_syscheck.zip
    • Kdademon
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
×
×
  • Создать...