Перейти к содержанию
Авторизация  
gudim

TrojanWPCracker.3

Рекомендуемые сообщения

Здравствуйте!
 
Закройте все программы
 
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('c:\progra~3\dxikamir.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\Tydedx.exe','');
 DeleteFile('C:\Users\Илья\AppData\Roaming\Tydedx.exe','32');
 DeleteFile('c:\progra~3\dxikamir.exe','32');
 DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tydedx');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','39006');
 DeleteService('lzsbvprg');
 BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
 ExecuteRepair(8);    
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 

quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 
O4 - HKCU\..\Run: [Tydedx] C:\Users\Илья\AppData\Roaming\Tydedx.exe
O4 - HKLM\..\Policies\Explorer\Run: [39006] c:\progra~3\dxikamir.exe
 
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните и прикрепите в ваше следующее сообщение. 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
  • Скачайте Universal Virus Sniffer (uVS)

     

     
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
     
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    ! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • Подробнее читайте в руководстве Как подготовить лог UVS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я запустил Malwarebytes' Anti-Malware таким образом

Включил UAC,

Включил брандмауэр (был отключен) и снова выключил,

 

 Universal Virus Sniffer (uVS) запускать? Или дождаться лога от  Malwarebytes' Anti-Malware?

Изменено пользователем gudim

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я запустил Malwarebytes' Anti-Malware таким образом

Включил UAC,

Включил брандмауэр (был отключен) и снова выключил,

 

 Universal Virus Sniffer (uVS) запускать? Или дождаться лога от  Malwarebytes' Anti-Malware?

Делайте тогда лог MBAM. UVS пока что не надо. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
QuarantineFile('C:\ProgramData\dxdsvc.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\ProgramData\dxtrhac.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxaapa.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxaavycsu.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxadie.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxeafo.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxeakzu.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxfskhgwd.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxftbhfu.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxidwi.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxihemkc.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxjate.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxlbukra.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxmtokjae.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxnurls.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxodie.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxqcuux.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxqmkwlwn.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxrlhs.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxrtnito.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxtbsisb.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxuawke.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxvbaoif.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxvniedo.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxvxdwa.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxwhekfr.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxwwfspd.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxxsft.exe','MBAM:Trojan.ModifiedUPX');
QuarantineFile('C:\Users\Илья\dxzlbz.exe','MBAM:Trojan.ModifiedUPX');
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.

 

quarantine2.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
 
Подробнее читайте в руководстве
 

 

Обнаруженные ключи в реестре:  2

HKCU\SOFTWARE\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BonanzaDealsLive.exe (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
 
Обнаруженные файлы:
C:\ProgramData\dxdsvc.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\ProgramData\dxtrhac.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxaapa.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxaavycsu.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxadie.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxeafo.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxeakzu.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxfskhgwd.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxftbhfu.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxidwi.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxihemkc.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxjate.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxlbukra.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxmtokjae.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxnurls.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxodie.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxqcuux.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxqmkwlwn.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxrlhs.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxrtnito.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxtbsisb.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxuawke.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxvbaoif.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxvniedo.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxvxdwa.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxwhekfr.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxwwfspd.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxxsft.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
C:\Users\Илья\dxzlbz.exe (Trojan.ModifiedUPX) -> Действие не было предпринято.
 
 

 

 
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 

 

Изменено пользователем mike 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чем из этого списка вы не пользуйтесь?

 

C:\Users\Илья\Downloads\----populaire-2012-dvdrip-_id3584521ids2s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

C:\Users\Илья\Downloads\CS6 amtlib.dll.zip (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\Илья\Downloads\kadryi-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\Илья\Downloads\lyubov-na-konchikah-palcev-2012-720h576-5.88-gb.exe (PUP.Optional.Installmonetizer) -> Действие не было предпринято.
C:\Users\Илья\Downloads\MediaGet_id4038691ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\Илья\Downloads\MediaGet_id4039390ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\Илья\Downloads\oblachnyiy-atlas-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\Илья\Downloads\seksualnaya-tvar-[torrentino].exe (PUP.Optional.ZvuZona) -> Действие не было предпринято.
C:\Users\Илья\Downloads\seksualnaya-tvar-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\Илья\Downloads\Skype_Rus_Full_Setup (1).exe (PUP.Optional.Freemium.A) -> Действие не было предпринято.
C:\Users\Илья\Downloads\SoftonicDownloader_for_xampp.exe (PUP.Optional.Softonic.A) -> Действие не было предпринято.
C:\Users\Илья\Downloads\sonnaya-loschina-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
C:\Users\Илья\Downloads\torrent.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.

 

Сделайте новые логи AVZ, RSIT. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты



  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".


  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.


!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.


  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.


! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".



 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
 
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
breg

addsgn A7679BF0AA021CE34BD4C60D5C881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C3710C49F75C4C32EF4CA2CC015DA3BE4AC965B2FC706AB7E 8 TYDEDX.EXE

zoo %SystemDrive%\USERS\ИЛЬЯ\APPDATA\ROAMING\TYDEDX.EXE
bl 71648065136A8FB675EC7930ECB8B0DA 163328
delall %SystemDrive%\USERS\ИЛЬЯ\APPDATA\ROAMING\TYDEDX.EXE
delref HTTP://SEARCHFUNMOODS.COM/?F=1&A=IRON2&CHNL=IRON2&CD=2XZUYETN2Y1L1QZUTDTDZZTDYEZZTCYCTA0ETDTAZYZZYD0ETN0D0TZU0CTAYETDTN1L2XZUTBTFTBTFTDTFTAYEYE&CR=547188142
zoo %SystemDrive%\PROGRAM FILES (X86)\FVCHEAT 2\FVCHEAT.EXE
chklst
delvir

deltmp
czoo
restart
 
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте через данную форму.
    1. Выберите тип запроса "Запрос на исследование вредоносного файла".
    2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
    3. Прикрепите файл карантина
    4. Введите изображенное на картинке число и нажмите "Далее".
    5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
     Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новый лог UVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...