Trojan.PWS.nitro

@Ne uznavemyj · Регистрация: 03.06.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте помогите пожалуйста, суть в том что словил вирус и потерял почту щас все восстановлено но мне кажется вероятность потери информации осталась, так как Dr.Web cureil находит вирус Trojan.PWS.nitro и обезвреживает его но при повторной проверки он опять его находит, что делать?

@thyrex · 11.08.2015, 14:34

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Ne uznavemyj · 11.08.2015, 15:26 **[ТС]**

Я сделал лог но но не понимаю как сделать вложение?(

@Ne uznavemyj · 11.08.2015, 15:38 **[ТС]**

log.zip Все допер прошу прощение вот лог)

@thyrex · 11.08.2015, 19:24

Архив с логами переименовывать не нужно!

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\programdata\{4a36e21d-25ab-d991-4a36-6e21d25a8874}\8913673151866562457e.exe','');
 QuarantineFile('c:\programdata\{d31dde80-922e-fe55-d31d-dde809227a02}\8390692124883524236e.exe','');
 QuarantineFile('c:\programdata\{50e4a6b1-e8d7-9461-50e4-4a6b1e8d9ac7}\6754012892693575352e.exe','');
 QuarantineFile('c:\programdata\{8cdfcbb7-95b9-c87c-8cdf-fcbb795b2ede}\8498489527936171959e.exe','');
 QuarantineFile('c:\programdata\{69bfa6ce-dc00-6ef6-69bf-fa6cedc09b3b}\4360600911107382985e.exe','');
 QuarantineFile('c:\programdata\{de5f74d4-a361-fe9e-de5f-f74d4a36d352}\2169405054353261272e.exe','');
 QuarantineFile('c:\programdata\{f51d2513-ac9a-962b-f51d-d2513ac9944e}\6578038456157524875e.exe','');
 QuarantineFile('c:\programdata\{23458730-ca18-42d6-2345-58730ca11cc3}\8289922850845901101e.exe','');
 QuarantineFile('c:\programdata\{f311f6e9-9577-1480-f311-1f6e9957dba6}\2135307458365420640e.exe','');
 DeleteFile('c:\programdata\{f311f6e9-9577-1480-f311-1f6e9957dba6}\2135307458365420640e.exe','32');
 DeleteFile('C:\Windows\Tasks\CodeItFast.job','64');
 DeleteFile('c:\programdata\{23458730-ca18-42d6-2345-58730ca11cc3}\8289922850845901101e.exe','32');
 DeleteFile('C:\Windows\Tasks\FoodHacks.job','64');
 DeleteFile('c:\programdata\{f51d2513-ac9a-962b-f51d-d2513ac9944e}\6578038456157524875e.exe','32');
 DeleteFile('C:\Windows\Tasks\FoxSearch.job','64');
 DeleteFile('c:\programdata\{de5f74d4-a361-fe9e-de5f-f74d4a36d352}\2169405054353261272e.exe','32');
 DeleteFile('C:\Windows\Tasks\InstaBrowse.job','64');
 DeleteFile('c:\programdata\{69bfa6ce-dc00-6ef6-69bf-fa6cedc09b3b}\4360600911107382985e.exe','32');
 DeleteFile('C:\Windows\Tasks\MedCrew.job','64');
 DeleteFile('c:\programdata\{8cdfcbb7-95b9-c87c-8cdf-fcbb795b2ede}\8498489527936171959e.exe','32');
 DeleteFile('C:\Windows\Tasks\QuickNibbles.job','64');
 DeleteFile('c:\programdata\{50e4a6b1-e8d7-9461-50e4-4a6b1e8d9ac7}\6754012892693575352e.exe','32');
 DeleteFile('C:\Windows\Tasks\ShoeSwap.job','64');
 DeleteFile('c:\programdata\{d31dde80-922e-fe55-d31d-dde809227a02}\8390692124883524236e.exe','32');
 DeleteFile('C:\Windows\Tasks\VoiceDetector.job','64');
 DeleteFile('C:\Windows\Tasks\WheelsMaster.job','64');
 DeleteFile('c:\programdata\{4a36e21d-25ab-d991-4a36-6e21d25a8874}\8913673151866562457e.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\FoxSearch','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

http://dragokas.com/tools/move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@Ne uznavemyj · 11.08.2015, 21:52 **[ТС]**

отправляю логи первый это ClearLNK
а второй это Autologger
также архив quarantine отправил

ClearLNK-11.08.2015_23-43.log

CollectionLog-2015.08.11-23.50.zip

@Ne uznavemyj · 11.08.2015, 22:03 **[ТС]**

И да я проверил да Dr.Web cureil после ваших инструкций и трояны не было обезоружено спасибо большое)

@thyrex · 11.08.2015, 23:59

Сделайте лог МВАМ

@Ne uznavemyj · 12.08.2015, 00:30 **[ТС]**

Фаил занимал места больше чем позволял сайт, поместил в архив(также не чего не удалял как сказано в инструкции)
mbam-log-2015-08-12 .rar

@thyrex · 12.08.2015, 10:43

Удалите в МВАМ все, кроме

Код

HackTool.CheatEngine, C:\Users\Андрей\Desktop\Assassin's Creed Rogue v1.1.0 Plus 22 Trainer.exe, , [1083b94e1477072f57d494c9d927c739], 
HackTool.GamesCheat.Gen, C:\Users\Андрей\Desktop\civ5DX11 +17 trainer.exe, , [850e75928308f145e38fd0929e671ae6], 
HackTool.CheatEngine, C:\Users\Андрей\Downloads\tropico_5_v1.08_trainer_4_mrantifun.zip, , [3c5752b5404b5fd739f292cbec14c43c], 
HackTool.CheatEngine, C:\Users\Андрей\Downloads\assassin_s_creed_rogue_v1.1.0_plus_22_trainer.exe (1).zip, , [9bf863a42d5e3bfbfc2f0558fb0526da], 
HackTool.GamesCheat.Gen, C:\Users\Андрей\Downloads\sidmeierscivilization5dx9dx11trn17.zip, , [4a4929de4b40a492531f6ff3b84de917], 
HackTool.CheatEngine, C:\Users\Андрей\Downloads\assassin_s_creed_rogue_v1.1.0_plus_22_trainer.exe.zip, , [197aa661fd8e1c1ad15a2b32c23e8878],

@Ne uznavemyj · 12.08.2015, 12:35 **[ТС]**

Удалил все, так те файлы мне не особо были нужны, спасибо большое)

@thyrex · 12.08.2015, 13:03

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

@Ne uznavemyj · 12.08.2015, 13:12 **[ТС]**

Поместил в архивы.
Addition.rar
FRST.rar

@thyrex · 12.08.2015, 13:46

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1081912407-1354486215-2786846729-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2015-07-27 03:45 - 2015-08-10 02:56 - 00000000 ____D C:\Users\Все пользователи\cbkmjcmcicbjmimeidppdpgnophpeojo
2015-07-27 03:45 - 2015-08-10 02:56 - 00000000 ____D C:\ProgramData\cbkmjcmcicbjmimeidppdpgnophpeojo
2015-07-17 14:34 - 2015-07-17 14:35 - 00000000 ____D C:\Program Files (x86)\freeee2yoeu
2015-07-17 02:56 - 2015-07-17 02:57 - 00000000 ____D C:\Users\Все пользователи\{d31dde80-922e-fe55-d31d-dde809227a02}
2015-07-17 02:56 - 2015-07-17 02:57 - 00000000 ____D C:\ProgramData\{d31dde80-922e-fe55-d31d-dde809227a02}
2015-07-14 22:00 - 2015-07-25 12:38 - 0000020 _____ () C:\Users\Андрей\AppData\Roaming\appdataFr2.bin
2015-07-12 15:33 - 2015-08-05 02:33 - 0000024 _____ () C:\Users\Андрей\AppData\Roaming\appdataFr25.bin
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

@Ne uznavemyj · 12.08.2015, 13:55 **[ТС]**

Вот
Fixlog.txt

@thyrex · 12.08.2015, 23:38

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@Ne uznavemyj · 13.08.2015, 12:29 **[ТС]**

SecurityCheck.txt

@thyrex · 13.08.2015, 16:11

--------------------------- [ OtherUtilities ] ----------------------------
Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления
Необязательное обновление.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u51-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Opera Stable 30.0.1835.142 v.30.0.1835.142 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Advanced SystemCare Pro Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

выполните рекомендованное + Рекомендации после удаления вредоносного ПО

@Ne uznavemyj · 13.08.2015, 16:34 **[ТС]**

Понял спасибо большое, все сделаю.

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
		1
	Trojan.PWS.nitro 11.08.2015, 11:30. Показов 1934. Ответов 18 Метки нет (Все метки) Здравствуйте помогите пожалуйста, суть в том что словил вирус и потерял почту щас все восстановлено но мне кажется вероятность потери информации осталась, так как Dr.Web cureil находит вирус Trojan.PWS.nitro и обезвреживает его но при повторной проверки он опять его находит, что делать? 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	11.08.2015, 14:34	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
	11.08.2015, 15:26 [ТС]	3
	Я сделал лог но но не понимаю как сделать вложение?( 0

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
	11.08.2015, 15:38 [ТС]	4
	log.zip Все допер прошу прощение вот лог) 0

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
	11.08.2015, 21:52 [ТС]	6
	отправляю логи первый это ClearLNK а второй это Autologger также архив quarantine отправил ClearLNK-11.08.2015_23-43.log CollectionLog-2015.08.11-23.50.zip 0

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
	11.08.2015, 22:03 [ТС]	7
	И да я проверил да Dr.Web cureil после ваших инструкций и трояны не было обезоружено спасибо большое) 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	11.08.2015, 23:59	8
	Сделайте лог МВАМ 0

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
	12.08.2015, 00:30 [ТС]	9
	Фаил занимал места больше чем позволял сайт, поместил в архив(также не чего не удалял как сказано в инструкции) mbam-log-2015-08-12 .rar 0

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
	12.08.2015, 12:35 [ТС]	11
	Удалил все, так те файлы мне не особо были нужны, спасибо большое) 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	12.08.2015, 13:03	12
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt**). Пожалуйста, прикрепите его в следующем сообщении. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	12.08.2015, 23:38	16
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0

	13.08.2015, 16:34

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
	12.08.2015, 13:12 [ТС]	13
	Поместил в архивы. Addition.rar FRST.rar 0

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
	12.08.2015, 13:55 [ТС]	15
	Вот Fixlog.txt 0

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
	13.08.2015, 12:29 [ТС]	17
	SecurityCheck.txt 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	13.08.2015, 16:11	18
	--------------------------- [ OtherUtilities ] ---------------------------- Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления *Необязательное обновление.* -------------------------------- [ Java ] --------------------------------- Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u51-windows-i586.exe)^ ------------------------------- [ Browser ] ------------------------------- Opera Stable 30.0.1835.142 v.30.0.1835.142 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- Advanced SystemCare Pro Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. выполните рекомендованное + Рекомендации после удаления вредоносного ПО 0

@Ne uznavemyj 0 / 0 / 1 Регистрация: 03.06.2015 Сообщений: 22
	13.08.2015, 16:34 [ТС]	19
	Понял спасибо большое, все сделаю. 0