Вирус

[Blood_Rain_X 0]

Наткнулся на интересный вирус, скачав спам бот. Интересный, т.к. еще не видел, чтобы моим пк управляли из вне, курсор начал перемещаться сам по себе, открывать программы и т.д. Я сразу же тыкнул перезагрузку и теперь задерживаюсь в интернете только, чтобы написать сюда и в очередной раз надеюсь на вашу помощь

 

Ссылка на скачивание вируса (!):

удалено

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено 1 февраля, 2014 пользователем thyrex

[thyrex 1 468]

RMS - remote manipulator system удалите через Установку программ

 

Пересоздайте ярлыки запуска браузеров

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('c:\windows\sppsvc.exe','');
DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.url','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) 

Сделайте новые логи

[Blood_Rain_X 0]

Удалил RMS.
Удалил ярлыки.

Выполнил скрипт.

Карантин отправил. Кстати, ссылка для отправки сейчас выглядит так https://my.kaspersky.com/ru/support/viruslab.

Ответ KLAN-1380597208:

bcqr00001.dat,
bcqr00002.dat,
sppsvc.exe

No malicious code has been found in these files.

rutserv.exe - not-a-virus:RemoteAdmin.Win32.RMS.d

This file is already detected by our extended bases as a potentially risk program. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

Пофиксил.

Новые логи:

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 1 февраля, 2014 пользователем Blood_Rain_X

[thyrex 1 468]

Порядок в логах

[Blood_Rain_X 0]

Спасибо!

[mike 1 1 093]

Здравствуйте!

 

Закройте все программы

 

Отключите

- Антивирус и Файрвол

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\C4A5.exe','');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\C4A5.exe','32');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);    
BC_Activate;    
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве