f657 0 Опубликовано 13 декабря, 2011 Share Опубликовано 13 декабря, 2011 Здравствуйте. Ситуация следующая есть подозрение что комппьютер заражён. Занимаюсь обменом валюты онлайн. И вот в недавно пришло письмо от клиента с просьбой об обмене и rar архив с якобы данными сканами пасопрта и заявкой файлы формата Ms Dos экзешники. Ну и подписланы соотрествено PayPal WesternUnion ну вы поняли к чему это. Т.к. моя работа зависит от этого и нет совершенно никакого желания быть обманутым прошу помочь. Прикреплю к этому сообщению помимо всех логов, этот ВИРУС пожалуйст посмотрите всё и скажите как очистить сиситему и что это вообще такое. Всё может быть может быть - даже моя параноя, хотя надеюсь что нет. Проверял этот фаил на virustotal тоже 0\43 - фаил читстые. ТОгда объясните пожалуйста что это всё значит. Заранее спасибо. Сообщение от модератора Jen94 Возможно вредоносный файл удален.Если Вы хотите проверить файл на наличие угроз, его следует отправить на newvirus@kaspersky.com, в теме указать "Требует ответа". Размещать в Интернете подобные файлы не нужно Цитата Ссылка на сообщение Поделиться на другие сайты
_Strannik_ 905 Опубликовано 13 декабря, 2011 Share Опубликовано 13 декабря, 2011 fucker657, нужны отчёты утилит AVZ и Random's System Information Tool (RSIT) подробнее по этой ссылке http://forum.kasperskyclub.ru/index.php?showtopic=31551 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 13 декабря, 2011 Share Опубликовано 13 декабря, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\DOCUME~1\tony\APPLIC~1\sysdat~1\syssrv.exe',''); DeleteFile('C:\DOCUME~1\tony\APPLIC~1\sysdat~1\syssrv.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syssrv.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.biz R3 - URLSearchHook: (no name) - {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: ShoppingReport2 - {258C9770-1713-4021-8D7E-1F184A2BD754} - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O4 - HKCU\..\Run: [syssrv.exe] C:\DOCUME~1\tony\APPLIC~1\sysdat~1\syssrv.exe Сделайте новые логи по правилам. не забудьте обновить базы AVZ + Проверьте компьютер утилитой TDSSkiller из данной статьи. http://support.kaspersky.ru/faq/?qid=208639606 Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях. Полученный лог из корня диска С приложите к новому сообщению. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup-<current number>.exe Обновите базы. После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить"). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
f657 0 Опубликовано 13 декабря, 2011 Автор Share Опубликовано 13 декабря, 2011 Сделал всё как вы сказали. Буду ждать ответа с Личного кабинета но не знаю сколько это займёт времени. Новые логи приложены. Вы мне можете сказать хотя бы примерно что это такое? И ещё интресует вопрос как это предотвратить в последующем? virusinfo_syscheck.zip virusinfo_syscure.zip mbam_log_2011_12_13__19_24_34_.txt TDSSKiller.2.6.23.0_13.12.2011_19.05.04_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 декабря, 2011 Share Опубликовано 13 декабря, 2011 Удалите в МВАМ только указанные строки Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{F244A744-534D-4A46-855F-C0C7E9F27DAA} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\Interface\{030C9927-10FC-4169-97A2-55BECD5D88D8} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl.1 (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl (Adware.ShoppingReport2) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{3E2DFD6A-4E20-4D4C-AA8B-E1F9DBEF3C80} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\ShoppingReport2.IEButton.1 (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\ShoppingReport2.IEButton (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{714E0876-FCEE-49CE-A429-B9AD8AEFCB56} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA.1 (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand.1 (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand (Adware.ShoppingReport2) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{DD15BCC0-5FE9-4690-A957-99FA60ED9D26} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\ShoppingReport2.HbAx.1 (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\ShoppingReport2.HbAx (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> No action taken. HKEY_CLASSES_ROOT\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C} (Adware.QuestScan) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DB38E21A-0133-419d-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> No action taken. HKEY_CURRENT_USER\Software\ShoppingReport2 (Adware.ShoppingReport2) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\WINXGZ (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2 (Adware.Hotbar) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\QUESTSCAN (Adware.QuestScan) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\QUESTSCAN (Adware.QuestScan) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QUESTSCAN_SERVICE (Adware.QuestScan) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QuestScan Service (Adware.QuestScan) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken. HKEY_CURRENT_USER\Software\winxgz\exerunner (Trojan.Agent) -> Value: exerunner -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QuestScan\DisplayName (Adware.QuestScan) -> Value: DisplayName -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\QuestScan\DllPath (Adware.QuestScan) -> Value: DllPath -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.smaxi.biz) Good: (http://www.google.com) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.smaxi.biz) Good: (http://www.google.com) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) -> No action taken. Зараженные папки: c:\documents and settings\tony\application data\shoppingreport2 (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\db (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\dwld (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\report (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\res1 (Adware.ShoppingReport2) -> No action taken. c:\program files\shoppingreport2 (Adware.ShoppingReport2) -> No action taken. c:\program files\shoppingreport2\Bin (Adware.ShoppingReport2) -> No action taken. c:\program files\shoppingreport2\Bin\2.7.37 (Adware.ShoppingReport2) -> No action taken. Зараженные файлы: c:\documents and settings\tony\application data\archsoft\winzipf.exe (Trojan.FakeSMS) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\Config.xml (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\db\Aliases.dbs (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\db\Sites.dbs (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\dwld\whitelist.xip (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\report\aggr_storage.xml (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\report\send_storage.xml (Adware.ShoppingReport2) -> No action taken. c:\documents and settings\tony\application data\shoppingreport2\cs\res1\whitelist.dbs (Adware.ShoppingReport2) -> No action taken. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 13 декабря, 2011 Share Опубликовано 13 декабря, 2011 + Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME >> Таймаут завершения процессов находится за пределами допустимых значений >> Таймаут завершения служб находится за пределами допустимых значений Цитата Ссылка на сообщение Поделиться на другие сайты
f657 0 Опубликовано 14 декабря, 2011 Автор Share Опубликовано 14 декабря, 2011 Сделал всё вышеперечисленное, дальше что? Я уже могу спать спокойно Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 декабря, 2011 Share Опубликовано 14 декабря, 2011 покажите новый лог MBAM и новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
f657 0 Опубликовано 14 декабря, 2011 Автор Share Опубликовано 14 декабря, 2011 Ок вот новые логи. Если есть необъходимость могу выложить вирус о котором говорил изначально. Спасибо за помощь. Жду дальнейших рекомендаций... mbam_log_2011_12_14__18_41_51_.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 декабря, 2011 Share Опубликовано 14 декабря, 2011 могу выложить вирус о котором говорил изначально. не нужно. споймаете предупреждение. проверьте на virustotal.com файлы d:\Progi\cc2bank13\cc2bank 1.3\cc2bank.exe C:\WINDOWS\system32\muzapp.exe 2 ссылки на результат проверки приложите деинсталлируйте MBAM После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Цитата Ссылка на сообщение Поделиться на другие сайты
f657 0 Опубликовано 15 декабря, 2011 Автор Share Опубликовано 15 декабря, 2011 cc2bank - удалил muzzapp - 0\43 результат проверки Какие ещё будут рекомендации? Как я понимаю - проблема решна? можно спать спокойно? Спасибо за помощь. И ещё какие посоветуете бесплатные утилиты для того чтобы подобные вещи не повторялись? Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 декабря, 2011 Share Опубликовано 15 декабря, 2011 чтобы подобные вещи не повторялись? http://virusinfo.info/showthread.php?t=30339 проблема решна? да. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.