Создаются подозрительные исполняемые файлы

@chii-tune · Регистрация: 16.10.2014

Здравствуйте, прошу помощи с лечением порядком надоевшего вируса, подхваченного после неосторожного использования файлообменников.

Суть: После установки программы, скачанной не из официального источника, на жестком диске стали появляться различные исполняемые файлы (*.exe, *.bat, *.pif, *.scr), имеющие навзания вида %название_папки%.scr

При проверке подобного файла на virustotal.com выдаются результаты вроде "Trojan.Muldrop", то же самое показывает Dr.WEB CureIt!

Логи RSIT упакованы в архив "rsit.zip"

Заранее благодарен.

@shestale · 16.10.2014, 10:04

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
__________________________________________________ ____

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ:

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\ccizpoyvb.exe', '');
 DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\ccizpoyvb.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','629');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:
Код
```
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
```
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Подготовьте лог MBAM. Во время обновления откажитесь от загрузки и установки новой версии.

@chii-tune · 17.10.2014, 07:30 **[ТС]**

Спасибо за отклик.
Выполнил все указанные Вами действия.
Жду дальнейших указаний.

@shestale · 17.10.2014, 08:10

Если МВАМ уже закрыли, тогда просканируйте заново, можно только диск С:\ и удалите всe, КРОМЕ:

Обнаруженные файлы:
D:\GAMES\C&C Generals - Desert Storm 2\Generals\MultiKeygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
F:\Кино\Всякая фигня\Adobe Photoshop CS6 13.0 Final Portable (by-CheshireCat)\Photoshop.CS6.13.0.Final.32.by-CheshireCat\App\PhotoshopCS6\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
F:\Кино\Всякая фигня\MS Office Standard 2007 Russian\SETUP.EXE (Trojan.Agent) -> Действие не было предпринято.
F:\Кино\Всякая фигня\MS Office Standard 2007 Russian\Keygen\msoe2007kg.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
F:\Кино\Всякая фигня\MS Office Standard 2007 Russian\OFFICE.RU-RU\DW20.EXE (Trojan.Agent) -> Действие не было предпринято.
F:\Кино\Всякая фигня\MS Office Standard 2007 Russian\OFFICE.RU-RU\DWTRIG20.EXE (Trojan.Agent) -> Действие не было предпринято.
F:\Кино\Всякая фигня\MS Office Standard 2007 Russian\STANDARD.WW\OSE.EXE (Trojan.Agent) -> Действие не было предпринято.
F:\Кино\Всякая фигня\Nero_8.2.8.0\keys\keymaker.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.

лог после удаления обязательно покажите.

@shestale 8615 / 4184 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	16.10.2014, 10:04	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. __________________________________________________ ____ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ: Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\ccizpoyvb.exe', ''); DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\ccizpoyvb.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','629'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Подготовьте лог MBAM. Во время обновления откажитесь от загрузки и установки новой версии. 0

@shestale 8615 / 4184 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	17.10.2014, 08:10	4
	Если МВАМ уже закрыли, тогда просканируйте заново, можно только диск С:\ и удалите всe, КРОМЕ: Обнаруженные файлы: D:\GAMES\C&C Generals - Desert Storm 2\Generals\MultiKeygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято. F:\Кино\Всякая фигня\Adobe Photoshop CS6 13.0 Final Portable (by-CheshireCat)\Photoshop.CS6.13.0.Final.32.by-CheshireCat\App\PhotoshopCS6\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято. F:\Кино\Всякая фигня\MS Office Standard 2007 Russian\SETUP.EXE (Trojan.Agent) -> Действие не было предпринято. F:\Кино\Всякая фигня\MS Office Standard 2007 Russian\Keygen\msoe2007kg.exe (RiskWare.Tool.CK) -> Действие не было предпринято. F:\Кино\Всякая фигня\MS Office Standard 2007 Russian\OFFICE.RU-RU\DW20.EXE (Trojan.Agent) -> Действие не было предпринято. F:\Кино\Всякая фигня\MS Office Standard 2007 Russian\OFFICE.RU-RU\DWTRIG20.EXE (Trojan.Agent) -> Действие не было предпринято. F:\Кино\Всякая фигня\MS Office Standard 2007 Russian\STANDARD.WW\OSE.EXE (Trojan.Agent) -> Действие не было предпринято. F:\Кино\Всякая фигня\Nero_8.2.8.0\keys\keymaker.exe (RiskWare.Tool.HCK) -> Действие не было предпринято. лог после удаления обязательно покажите. 0

Опции темы