Не получается удалить trojan.mayachok.1

@sart1980 · Регистрация: 06.12.2011

Помогите избавиться от этой гадости. Cureit находит его в памяти и сносит. Но после перезагрузки он опять висит в памяти. Большинство сайтов не открываются.

@shestale · 07.12.2011, 10:46

Смотрю логи

@Techno · 07.12.2011, 10:49

.....

@shestale · 07.12.2011, 11:33

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS.0\system32\drivers\spje.sys','');
 QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\mc22.tmp','');
 QuarantineFile('C:\WINDOWS.0\system32\adnmdhk.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\75.tmp','');
 DeleteFile('C:\WINDOWS.0\system32\adnmdhk.dll');
 DeleteFile('C:\WINDOWS.0\system32\75.tmp');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\mc22.tmp');
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

Пофиксите в HJT эти строки:

Код

O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала , установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

@sart1980 · 08.12.2011, 23:22 **[ТС]**

Вроде бы всё сделал в указанном порядке. Попробовал убить в памяти процесс kmservice.exe, и о чудо, страницы начали грузиться. Ещё бы его удалить полностью.

@alivan · 08.12.2011, 23:28

Офис не потребует активацию? Без kms?

@sart1980 · 09.12.2011, 00:54 **[ТС]**

Word открывается без проблем. Мера всё равно временная. Убил kmservice.exe и слава Богу смог на форум через свой комп зайти. А то приходится ждать когда до работы добреду.

@shestale · 09.12.2011, 07:46

МВАМ вы наверное уже закрыли, тогда просканируйте заново и удалите эти строчки

HKEY_CLASSES_ROOT\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.
d:\system volume information\_restore{e30b2dc8-295c-411f-8c58-9e563fe394b0}\RP120\A0018658.exe (Malware.Packer.Krunchy) -> No action taken.

Удаление kmservice.exe (кряк Microsoft Office) на ваше усмотрение, если желаете то включите в удаление и эти строчки

Код

c:\WINDOWS.0\kmservice.exe (RiskWare.Tool.CK) -> 1876 -> No action taken.
c:\WINDOWS.0\kmservice.exe (RiskWare.Tool.CK) -> No action taken.
c:\WINDOWS\kmservice.exe (RiskWare.Tool.CK) -> No action taken.

Остальные кряки и кейгены на ваше усмотрение.

Как чувствует себя система?

@sart1980 · 09.12.2011, 10:32 **[ТС]**

Можно уточнить пару нюансов?
Не знал что это кряк офиса. Я так понимаю его удаление не обязательно?
Без kmservice.exe система чувствует себя нормально. С kmservice.exe систему не тестил.

@shestale · 09.12.2011, 10:41

Можете проверить kmservice.exe на virustotal, ссылку на результат запостите здесь.

@sart1980 · 09.12.2011, 22:04 **[ТС]**

Сообщение от shestale

Можете проверить kmservice.exe на virustotal, ссылку на результат запостите здесь.

У меня два файла kmservice.exe. Проверил их. Не уверен что всё сделал правильно.

1-ый:http://www.virustotal.com/file... 1323448257

2-ой:http://www.virustotal.com/file... 1323448436

@shestale · 10.12.2011, 08:07

Сделали все правильно. Просто вы проверили один и тот-же файл, который находился в разных местах.
Как чувствует теперь ваша система.
Повторите логи AVZ и Rsit.

@sart1980 · 10.12.2011, 09:34 **[ТС]**

Система чувствует себя вроде бы неплохо. Тьфу-тьфу-тьфу... Логи повторю попозже. Я так понимаю kmservice.exe можно не удалять? Ещё вопрос, не могу разобраться, как на форуме Вам повысить репутацию? Горю желанием

@shestale · 10.12.2011, 09:51

Это не обязательно,..но приятно. Жду логи.

@Sfera · 10.12.2011, 10:00

sart1980, а вы жмите под сообщением вашего лекаря на кнопу "+1 спасибо" )) репутация и подымется. Еще его репутация повысится, если логи контрольные выложите)

@sart1980 · 10.12.2011, 18:36 **[ТС]**

Контрольные логи.

@shestale · 10.12.2011, 19:03

смотрю логи

Добавлено через 17 минут
В логах больше ни чего подозрительного не вижу.
Деинсталируйте МВАМ
Пуск-Панель управления-Установка/удаление программ-найдите Malwarebytes Anti-Malware и нажмите удалить.
Вам необходимо:
1.создать новую контрольную точку восстановления и очистить предыдущие.
2.очистить временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
3.на вашем компьютере разрешен авто-запуск со сменных носителей, во- избежании повторных заражений рекомендую его отключить:
скопируйте это в блокнот и сохраните с произвольным именем и расширением .reg

Код

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd

Запустите сохраненный файл, на запрос ответить - да.

Выполняйте пожалуйста рекомендации:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool.
- регулярно обновлять антивирус и антивирусные базы

Всего хорошего.

@sart1980 · 11.12.2011, 02:45 **[ТС]**

Спасибо огромное! Буду стараться выполнять все рекомендации.

Добавлено через 3 часа 37 минут
По поводу 3-го пункта. Создаю файл но он не запускается. Вылетает ошибка:
Указанный файл не является файлом реестра. Возможен импорт только двоичных файлов данных реестра.

@~~Katharsis~~ · 11.12.2011, 02:57

Сообщение от sart1980

Указанный файл не является файлом реестра

вместо твика - в окно командной строки скопируйте и вставьте команду (делает то же самое):

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Expl orer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f

Нажмите enter.

@sart1980 · 11.12.2011, 11:46 **[ТС]**

Операция успешно завершена

Спасибо за помощь.
Ну и отдельная благодарность shestale.

@shestale 8607 / 4177 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	07.12.2011, 10:46	2
	Смотрю логи 1

@Techno 318 / 120 / 2 Регистрация: 15.07.2011 Сообщений: 293
	07.12.2011, 10:49	3
	..... 0

@alivan 23 / 23 / 1 Регистрация: 09.11.2011 Сообщений: 35
	08.12.2011, 23:28	6
	Офис не потребует активацию? Без kms? 0

@sart1980 0 / 0 / 0 Регистрация: 06.12.2011 Сообщений: 9
	09.12.2011, 00:54 [ТС]	7
	Word открывается без проблем. Мера всё равно временная. Убил kmservice.exe и слава Богу смог на форум через свой комп зайти. А то приходится ждать когда до работы добреду. 0

@shestale 8607 / 4177 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	09.12.2011, 07:46	8
	МВАМ вы наверное уже закрыли, тогда просканируйте заново и удалите эти строчки HKEY_CLASSES_ROOT\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken. d:\system volume information\_restore{e30b2dc8-295c-411f-8c58-9e563fe394b0}\RP120\A0018658.exe (Malware.Packer.Krunchy) -> No action taken. Удаление kmservice.exe (кряк Microsoft Office) на ваше усмотрение, если желаете то включите в удаление и эти строчки Код c:\WINDOWS.0\kmservice.exe (RiskWare.Tool.CK) -> 1876 -> No action taken. c:\WINDOWS.0\kmservice.exe (RiskWare.Tool.CK) -> No action taken. c:\WINDOWS\kmservice.exe (RiskWare.Tool.CK) -> No action taken. Остальные кряки и кейгены на ваше усмотрение. Как чувствует себя система? 1

@sart1980 0 / 0 / 0 Регистрация: 06.12.2011 Сообщений: 9
	09.12.2011, 10:32 [ТС]	9
	Можно уточнить пару нюансов? Не знал что это кряк офиса. Я так понимаю его удаление не обязательно? Без kmservice.exe система чувствует себя нормально. С kmservice.exe систему не тестил. 0

@shestale 8607 / 4177 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	09.12.2011, 10:41	10
	Можете проверить kmservice.exe на virustotal, ссылку на результат запостите здесь. 1

@sart1980 0 / 0 / 0 Регистрация: 06.12.2011 Сообщений: 9
	09.12.2011, 22:04 [ТС]	11
	Сообщение от shestale Можете проверить kmservice.exe на virustotal, ссылку на результат запостите здесь. У меня два файла kmservice.exe. Проверил их. Не уверен что всё сделал правильно. 1-ый:http://www.virustotal.com/file... 1323448257 2-ой:http://www.virustotal.com/file... 1323448436 0

@shestale 8607 / 4177 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	10.12.2011, 08:07	12
	Сделали все правильно. Просто вы проверили один и тот-же файл, который находился в разных местах. Как чувствует теперь ваша система. Повторите логи AVZ и Rsit. 2

@sart1980 0 / 0 / 0 Регистрация: 06.12.2011 Сообщений: 9
	10.12.2011, 09:34 [ТС]	13
	Система чувствует себя вроде бы неплохо. Тьфу-тьфу-тьфу... Логи повторю попозже. Я так понимаю kmservice.exe можно не удалять? Ещё вопрос, не могу разобраться, как на форуме Вам повысить репутацию? Горю желанием 0

Опции темы

@shestale 8607 / 4177 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	10.12.2011, 09:51	14
	Это не обязательно,..но приятно. Жду логи. 1

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	10.12.2011, 10:00	15
	sart1980, а вы жмите под сообщением вашего лекаря на кнопу "+1 спасибо" )) репутация и подымется. Еще его репутация повысится, если логи контрольные выложите) 2

@shestale 8607 / 4177 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	10.12.2011, 19:03	17
	смотрю логи Добавлено через 17 минут В логах больше ни чего подозрительного не вижу. Деинсталируйте МВАМ Пуск-Панель управления-Установка/удаление программ-найдите Malwarebytes Anti-Malware и нажмите удалить. Вам необходимо: 1.создать новую контрольную точку восстановления и очистить предыдущие. 2.очистить временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner. 3.на вашем компьютере разрешен авто-запуск со сменных носителей, во- избежании повторных заражений рекомендую его отключить: скопируйте это в блокнот и сохраните с произвольным именем и расширением .reg Код Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000dd Запустите сохраненный файл, на запрос ответить - да. Выполняйте пожалуйста рекомендации: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows - регулярно проверять систему антивирусными утилитами CureIT и AVPTool. - регулярно обновлять антивирус и антивирусные базы Всего хорошего. 2

@sart1980 0 / 0 / 0 Регистрация: 06.12.2011 Сообщений: 9
	11.12.2011, 02:45 [ТС]	18
	Спасибо огромное! Буду стараться выполнять все рекомендации. Добавлено через 3 часа 37 минут По поводу 3-го пункта. Создаю файл но он не запускается. Вылетает ошибка: Указанный файл не является файлом реестра. Возможен импорт только двоичных файлов данных реестра. 0

@~~Katharsis~~ Заблокирован
	11.12.2011, 02:57	19
	Сообщение от sart1980 Указанный файл не является файлом реестра вместо твика - в окно командной строки скопируйте и вставьте команду (делает то же самое): reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Expl orer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f Нажмите enter. 2

@sart1980 0 / 0 / 0 Регистрация: 06.12.2011 Сообщений: 9
	11.12.2011, 11:46 [ТС]	20
	Операция успешно завершена Спасибо за помощь. Ну и отдельная благодарность shestale. 0