Trojan. Mayachok.1 не могу вылечить

@longdrink · Регистрация: 20.11.2011

Author24 — интернет-сервис помощи студентам

Проверил dr.web, находятся процессы связанные с троян.маячок.1. Вроде все сделал по FAQ, заранее спасибо.

@~~Katharsis~~ · 20.11.2011, 13:24

1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\vfigdec.dll','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\vdsdk.sys','');
 DeleteFile('C:\WINDOWS\system32\vfigdec.dll');
 DeleteFileMask('C:\Documents and Settings\KeshkO\Application Data', '*.tmp', true);
 DeleteFileMask('C:\fpikCaSu4ggkhzK', '*.*', true);
 DeleteDirectory('C:\fpikCaSu4ggkhzK');
 DeleteFileMask('C:\Documents and Settings\KeshkO\Application Data\fpikCaSu4ggkhzK', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\KeshkO\Application Data\fpikCaSu4ggkhzK'); 
 DeleteFileMask('C:\Documents and Settings\KeshkO\Application Data\MicroST', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\KeshkO\Application Data\MicroST');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.сделайте повторные логи avz и rsit.

@longdrink · 20.11.2011, 15:06 **[ТС]**

adobe reader , Sun Java, Adobe Flash Player, QuickTime- вроде обновил
Снес хром, обновил мазилу, первая попытка выполнения скрипта была неудачная, комп завис, после перезагрузки не загружалась мазила, профиль был удален...

Через форму архив отправил.

@~~Katharsis~~ · 20.11.2011, 15:28

Хром можно было не сносить, в плане безопасности достаточно надежен.

из найденного mbam удалите:

Зараженные файлы:
c:\RECYCLER\s-1-5-21-448539723-1454471165-725345543-1003\Dc1144.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\KeshkO\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.

так же, если вы сами не устанавливали плагин к alcohol 120 - AlSrvN.exe

Зараженные процессы в памяти:
c:\program files\alcohol soft\alcohol 120\Plugins\Helper\AlSrvN.exe (Backdoor.Agent) -> 1468 -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AlSrvN (Backdoor.Agent) -> Value: AlSrvN -> No action taken.
Зараженные файлы:
c:\program files\alcohol soft\alcohol 120\Plugins\Helper\AlSrvN.exe (Backdoor.Agent) -> No action taken.

Лог повторите.

Профиль FF находится у вас в C:\Documents and Settings\пользователь\Application Data\Mozilla\Firefox\Profiles\имя_профиля, скриптом он не удалялся.

Чтобы создать новый профиль, нужно запустить браузер через меню "пуск" =- выполнить таким образом:

firefox.exe -P

откроется менеждер профилей.

что с проблемами?

@longdrink · 20.11.2011, 15:48 **[ТС]**

Спасибо ОГРОМНОЕ, за оперативную помощь! Проблем больше нет. Все от AlSrvN почистил.
Еще раз ОГРОМНОЕ СПАСИБО!

@~~Katharsis~~ · 20.11.2011, 15:51

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f

Нажмите enter.

Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

@~~Katharsis~~ Заблокирован
	20.11.2011, 13:24	2
	1. обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. 2.Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\vfigdec.dll',''); QuarantineFile('c:\docume~1\admin\locals~1\temp\vdsdk.sys',''); DeleteFile('C:\WINDOWS\system32\vfigdec.dll'); DeleteFileMask('C:\Documents and Settings\KeshkO\Application Data', '.tmp', true); DeleteFileMask('C:\fpikCaSu4ggkhzK', '.', true); DeleteDirectory('C:\fpikCaSu4ggkhzK'); DeleteFileMask('C:\Documents and Settings\KeshkO\Application Data\fpikCaSu4ggkhzK', '.', true); DeleteDirectory('C:\Documents and Settings\KeshkO\Application Data\fpikCaSu4ggkhzK'); DeleteFileMask('C:\Documents and Settings\KeshkO\Application Data\MicroST', '.', true); DeleteDirectory('C:\Documents and Settings\KeshkO\Application Data\MicroST'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results* (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 4.сделайте повторные логи avz и rsit. 1

@~~Katharsis~~ Заблокирован
	20.11.2011, 15:28	4
	Хром можно было не сносить, в плане безопасности достаточно надежен. из найденного mbam удалите: Зараженные файлы: c:\RECYCLER\s-1-5-21-448539723-1454471165-725345543-1003\Dc1144.exe (Trojan.Downloader) -> No action taken. c:\documents and settings\KeshkO\application data\igfxtray.dat (Malware.Trace) -> No action taken. c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken. так же, если вы сами не устанавливали плагин к alcohol 120 - AlSrvN.exe Зараженные процессы в памяти: c:\program files\alcohol soft\alcohol 120\Plugins\Helper\AlSrvN.exe (Backdoor.Agent) -> 1468 -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AlSrvN (Backdoor.Agent) -> Value: AlSrvN -> No action taken. Зараженные файлы: c:\program files\alcohol soft\alcohol 120\Plugins\Helper\AlSrvN.exe (Backdoor.Agent) -> No action taken. Лог повторите. Профиль FF находится у вас в C:\Documents and Settings\пользователь\Application Data\Mozilla\Firefox\Profiles\имя_профиля, скриптом он не удалялся. Чтобы создать новый профиль, нужно запустить браузер через меню "пуск" =- выполнить таким образом: firefox.exe -P откроется менеждер профилей. что с проблемами? 1

@longdrink 0 / 0 / 0 Регистрация: 20.11.2011 Сообщений: 3
	20.11.2011, 15:48 [ТС]	5
	Спасибо ОГРОМНОЕ, за оперативную помощь! Проблем больше нет. Все от AlSrvN почистил. Еще раз ОГРОМНОЕ СПАСИБО! 0

@~~Katharsis~~ Заблокирован
	20.11.2011, 15:51	6
	Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду: reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f Нажмите enter. Если больше никаких проблем не возникает, то: Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендуется: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. - регулярно проверять систему антивирусными утилитами CureIT и AVPTool 1