Подозрение на троян (дом. компьютер)

[Nova]

Касперский (теперь уже на домашнем компьютере) выдает сообщение, что svchost.exe пытается открыть вредоносную ссылку:

Сообщение от модератора Mark D. Pearlstone

Вредоносные ссылки удалены.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[icotonev]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Tiare]

Nova,

 

+ к вышесказанному

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\Program Files\AutoHideIP\AutoHideIP.exe

C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe','');
QuarantineFile('C:\Program Files\Common Files\microsoft shared\dmu100.pi','');
QuarantineFile('C:\Program Files\AutoHideIP\AutoHideIP.exe','');
QuarantineFile('D:\Games\Counter Strike 1.6\! myACC !\acdev.sys','');
QuarantineFile('E:\Distr\Distr\! SITE\Programs\TOP Generator\TopGen.exe.BAK','');
QuarantineFile('D:\TEMP\игры alawar\BeachPartyCraze-Rus------------------.exe','');
QuarantineFile('D:\TEMP\игры alawar\10DaysUnderTheSea----------------------------.exe','');
QuarantineFile('D:\TEMP\игры alawar\AnimalAgents-----------------------.exe','');
QuarantineFile('D:\TEMP\игры alawar\--------Turtix.exe','');
QuarantineFile('D:\Games\NFS Hot Pursuit 2\Support\Need For Speed Hot Pursuit 2_eReg.bak','');
QuarantineFile('Z:\usr\local\mysql5\bin\mysqld.exe','');
DeleteFile('C:\Program Files\Common Files\microsoft shared\dmu100.pi');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

- обновите Java до актуальной версии

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

 

Повторите логи AVZ и RSIT

Изменено 6 декабря, 2011 пользователем Tiare

[Nova]

C:\Program Files\AutoHideIP\AutoHideIP.exe

Нет такого файла у меня на компьютере...

 

C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe

На D он...

http://www.virustotal.com/file-scan/report...d18b-1322759712

 

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

Выполнил

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму

Файл около 94Мб не могу передать через форму и сюда никак...

 

обновите Java до актуальной версии

Выполнил

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то

Выполнил

mbam_log_2011_12_01__23_36_43_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Tiare]

Пофиксите в HijackThis

R3 - URLSearchHook: (no name) -  - (no file)

 

 

Запустите AVZ - меню "Файл" - "Просмотр карантина". Удалите из карантина данные файлы

D:\Games\Counter Strike 1.6\! myACC !\acdev.sys

D:\Games\NFS Hot Pursuit 2\Support\Need For Speed Hot Pursuit 2_eReg.bak

D:\TEMP\игры alawar\--------Turtix.exe

D:\TEMP\игры alawar\10DaysUnderTheSea----------------------------.exe

D:\TEMP\игры alawar\AnimalAgents-----------------------.exe

D:\TEMP\игры alawar\BeachPartyCraze-Rus------------------.exe

E:\Distr\Distr\! SITE\Programs\TOP Generator\TopGen.exe.BAK

E:\Distr\Distr\Documents\RABOTA\Кристалл\ВхЗаявки\РАО ЕЭС\Ответы\РЗА\Бреслер\Серт. соответствия.rar

E:\Distr\Games\NFS\Support\Need For Speed Hot Pursuit 2_eReg.bak

и

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

После этого папку с карантином отправьте по вышеуказанной форме.

 

Удалять кряки (кейгены) или нет - на ваше усмотрение

c:\program files\total commander\Plugins\arc\Default.sfx

c:\program files\total commander\Utilites\SFX Tool\Upack.exe

c:\program files\натали брукс - тайна наследства\uninstall.exe

e:\Distr\Distr\keygen.exe

e:\Distr\Distr\! SITE\Programs\top generator\topgen-patch.exe

e:\Distr\Distr\! SITE\Programs\top generator\[Crack]\topgen-patch.exe

e:\Distr\Distr\arhivator\WinRAR 3.71\core keygen.exe

e:\Distr\Distr\arhivator\winrar_3.62rus\winrar.3.xx.generic.patch.exe

e:\Distr\Distr\games lorik\взлом игр nevosoft\nevosoft.games.universal.patch.exe

e:\Distr\Distr\games lorik\взлом игр nevosoft\nevosoft.new.wrapper.patcher.exe

 

 

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

 

Все важные пароли советую сменить.

 

 

Проблемы остались какие-то?