Перейти к содержанию
Авторизация  
3kilos

Вирус Backdoor.Win32.Gbot.qom в файле igfxtray.exe

Рекомендуемые сообщения

Здравствуйте!

 

Подскажите, пожалуйста, все ли чисто в логах, после удаления вируса в файле igfxtray.exe?

 

Заражение произошло наверно так.

Вчера зашел на сайт rustorka, чтобы скачать другу игру. Пока пользовался поиском, всплывали рекламные баннеры, я их закрывал. Потом Firefox выдал сообщение о том, что заблокирована попытка установки дополнительных плагинов, после чего я ушел с сайта.

 

Сегодня при проверке объектов автозапуска Kaspersky Anti-Virus 7.0 удалил следующий файл: удалено: троянская программа Backdoor.Win32.Gbot.qom Файл: C:\Documents and Settings\имя_пользователя\Главное меню\Программы\Автозагрузка\igfxtray.exe.

После чего произошла перезагрузка, при повторной проверке автозапуска вирусов не было обнаружено.

Потом я сделал проверку Kaspersky Virus Removal Tool 2011, вирусов также не было выявлено.

А когда очищал временные папки, то Kaspersky Anti-Virus нашел и удалил еще такой файл: удалено: троянская программа Backdoor.Win32.Shiz.dkm Файл: C:\WINDOWS\AppPatch\wievlaj.dat.

 

Скажите, пожалуйста, осталось ли что от вирусов в системе?

 

Заранее спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

проверьте наличие такого файла:

c:\Windows\explorer.exe

 

удалите триалресеттер в профиле квипа.

 

ждём ответа.

Изменено пользователем Roman_Five

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
проверьте наличие такого файла:

c:\Windows\explorer.exe

 

удалите триалресеттер в профиле квипа.

 

ждём ответа.

 

Файл explorer.exe в папке Windows есть.

 

Триалресеттер удалил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

Пофиксите в HijackThis:

F2 - REG:system.ini: Shell=C:\WINDOWS\ERDNT\cache\Explorer.exe

 

сделайте новые логи AVZ

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Во всех режимах в списке только KAV 7.0.

 

F2 пофиксил в HijackThis.

 

Сделал новые логи в AVZ.

 

Проверка в Malwarebytes' Anti-Malware выполняется.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Во всех режимах в списке только KAV 7.0.

вижу.

драйвера уже нет.

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

ждём лог MBAM

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
вижу.

драйвера уже нет.

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

ждём лог MBAM

 

 

Лог MBAM.

 

 

Upd.

Интересно, успел ли Backdoor.Win32.Shiz.dkm утащить пароли от сайтов и какие утащил, если успел? :)

Или достаточно поменять те пароли от сайтов, на которые я заходил после появления информации о попытки установки плагина в Firefox?

mbam_log_2011_11_20__20_15_46_.txt

Изменено пользователем 3kilos

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Удалите в МВАМ только указанные строки
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\15\7e6bf48f-7c8d7b09 (Trojan.Agent) -> No action taken.
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\34\70accee2-76ab7a93 (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP364\A0143720.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP365\A0143887.exe (Trojan.Agent.CK) -> No action taken.
c:\documents and settings\Лёха\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

+

успел ли Backdoor.Win32.Shiz.dkm утащить пароли от сайтов и какие утащил

смените все. особенно к конфеденциальной информации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Удалите в МВАМ только указанные строки
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\15\7e6bf48f-7c8d7b09 (Trojan.Agent) -> No action taken.
c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\34\70accee2-76ab7a93 (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP364\A0143720.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP365\A0143887.exe (Trojan.Agent.CK) -> No action taken.
c:\documents and settings\Лёха\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

 

 

+

 

смените все. особенно к конфеденциальной информации.

 

 

Удалил все файлы в MBAM, лог загрузил.

 

Постараюсь сменить многие пароли, но все наверно не получится, уже и не вспомнишь где и когда регистрировался. :)

mbam_log_2011_11_20__23_38_19_.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

3kilos,

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3kilos,

 

Обязательно деинсталлируйте MBAM!

 

 

создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы.

 

Хорошо, спасибо, сейчас сделаю.

 

А ничего, если я уже меняю пароли? :) Или рано я начал это делать?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А ничего, если я уже меняю пароли? :) Или рано я начал это делать?)

 

Самые важные пароли смените (на электронные кошельки и т.п), потом - все остальное )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...