3kilos 1 Опубликовано 20 ноября, 2011 Share Опубликовано 20 ноября, 2011 Здравствуйте! Подскажите, пожалуйста, все ли чисто в логах, после удаления вируса в файле igfxtray.exe? Заражение произошло наверно так. Вчера зашел на сайт rustorka, чтобы скачать другу игру. Пока пользовался поиском, всплывали рекламные баннеры, я их закрывал. Потом Firefox выдал сообщение о том, что заблокирована попытка установки дополнительных плагинов, после чего я ушел с сайта. Сегодня при проверке объектов автозапуска Kaspersky Anti-Virus 7.0 удалил следующий файл: удалено: троянская программа Backdoor.Win32.Gbot.qom Файл: C:\Documents and Settings\имя_пользователя\Главное меню\Программы\Автозагрузка\igfxtray.exe. После чего произошла перезагрузка, при повторной проверке автозапуска вирусов не было обнаружено. Потом я сделал проверку Kaspersky Virus Removal Tool 2011, вирусов также не было выявлено. А когда очищал временные папки, то Kaspersky Anti-Virus нашел и удалил еще такой файл: удалено: троянская программа Backdoor.Win32.Shiz.dkm Файл: C:\WINDOWS\AppPatch\wievlaj.dat. Скажите, пожалуйста, осталось ли что от вирусов в системе? Заранее спасибо! virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 20 ноября, 2011 Share Опубликовано 20 ноября, 2011 (изменено) проверьте наличие такого файла: c:\Windows\explorer.exe удалите триалресеттер в профиле квипа. ждём ответа. Изменено 20 ноября, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 20 ноября, 2011 Share Опубликовано 20 ноября, 2011 Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи. http://support.kaspersky.ru/faq/?qid=208635705 Важно: выбирать AVP Tool Driver. Цитата Ссылка на сообщение Поделиться на другие сайты
3kilos 1 Опубликовано 20 ноября, 2011 Автор Share Опубликовано 20 ноября, 2011 проверьте наличие такого файла: c:\Windows\explorer.exe удалите триалресеттер в профиле квипа. ждём ответа. Файл explorer.exe в папке Windows есть. Триалресеттер удалил. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 20 ноября, 2011 Share Опубликовано 20 ноября, 2011 Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.http://support.kaspersky.ru/faq/?qid=208635705 Важно: выбирать AVP Tool Driver. Пофиксите в HijackThis: F2 - REG:system.ini: Shell=C:\WINDOWS\ERDNT\cache\Explorer.exe сделайте новые логи AVZ + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результ 1 Цитата Ссылка на сообщение Поделиться на другие сайты
3kilos 1 Опубликовано 20 ноября, 2011 Автор Share Опубликовано 20 ноября, 2011 Во всех режимах в списке только KAV 7.0. F2 пофиксил в HijackThis. Сделал новые логи в AVZ. Проверка в Malwarebytes' Anti-Malware выполняется. virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 20 ноября, 2011 Share Опубликовано 20 ноября, 2011 Во всех режимах в списке только KAV 7.0. вижу. драйвера уже нет. После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) ждём лог MBAM Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 20 ноября, 2011 Share Опубликовано 20 ноября, 2011 KAV 7.0 очень устарел... Цитата Ссылка на сообщение Поделиться на другие сайты
3kilos 1 Опубликовано 20 ноября, 2011 Автор Share Опубликовано 20 ноября, 2011 (изменено) вижу.драйвера уже нет. После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) ждём лог MBAM Лог MBAM. Upd. Интересно, успел ли Backdoor.Win32.Shiz.dkm утащить пароли от сайтов и какие утащил, если успел? Или достаточно поменять те пароли от сайтов, на которые я заходил после появления информации о попытки установки плагина в Firefox? mbam_log_2011_11_20__20_15_46_.txt Изменено 20 ноября, 2011 пользователем 3kilos Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 ноября, 2011 Share Опубликовано 20 ноября, 2011 Удалите в МВАМ только указанные строки c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\15\7e6bf48f-7c8d7b09 (Trojan.Agent) -> No action taken. c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\34\70accee2-76ab7a93 (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP364\A0143720.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP365\A0143887.exe (Trojan.Agent.CK) -> No action taken. c:\documents and settings\Лёха\application data\igfxtray.dat (Malware.Trace) -> No action taken. c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 20 ноября, 2011 Share Опубликовано 20 ноября, 2011 + успел ли Backdoor.Win32.Shiz.dkm утащить пароли от сайтов и какие утащил смените все. особенно к конфеденциальной информации. Цитата Ссылка на сообщение Поделиться на другие сайты
3kilos 1 Опубликовано 20 ноября, 2011 Автор Share Опубликовано 20 ноября, 2011 Удалите в МВАМ только указанные строки c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\15\7e6bf48f-7c8d7b09 (Trojan.Agent) -> No action taken. c:\documents and settings\Лёха\application data\Sun\Java\deployment\cache\6.0\34\70accee2-76ab7a93 (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP364\A0143720.exe (Trojan.Agent) -> No action taken. c:\system volume information\_restore{d15044bb-582e-4eff-b74c-ae2ebbfeef5a}\RP365\A0143887.exe (Trojan.Agent.CK) -> No action taken. c:\documents and settings\Лёха\application data\igfxtray.dat (Malware.Trace) -> No action taken. c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken. + смените все. особенно к конфеденциальной информации. Удалил все файлы в MBAM, лог загрузил. Постараюсь сменить многие пароли, но все наверно не получится, уже и не вспомнишь где и когда регистрировался. mbam_log_2011_11_20__23_38_19_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 20 ноября, 2011 Share Опубликовано 20 ноября, 2011 3kilos, Обязательно деинсталлируйте MBAM! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
3kilos 1 Опубликовано 20 ноября, 2011 Автор Share Опубликовано 20 ноября, 2011 3kilos, Обязательно деинсталлируйте MBAM! создайте новую контрольную точку восстановления и очистите заражённую, очистите временные файлы. Хорошо, спасибо, сейчас сделаю. А ничего, если я уже меняю пароли? Или рано я начал это делать?) Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 20 ноября, 2011 Share Опубликовано 20 ноября, 2011 А ничего, если я уже меняю пароли? Или рано я начал это делать?) Самые важные пароли смените (на электронные кошельки и т.п), потом - все остальное ) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.