Не работают браузеры. Троян Маячок 1. Помогите!

@Jaro · Регистрация: 24.12.2011

Author24 — интернет-сервис помощи студентам

Не работают браузеры, CureIt постоянно видит троян маячок1.

@shestale · 24.12.2011, 11:49

Здравствуйте, смотрю логи.

Добавлено через 31 минуту
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

На вашем компьютере разрешен автозапуск.
Для снижения риска последующих заражений, во время выполнения скрипта, вам будет предложено его отключить со всех носителей кроме CD.
Выполните скрипт в АВЗ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\Users\User\AppData\Local\Temp\gWzVm31M.sys','');
 QuarantineFile('C:\Windows\system32\qnsubhc.dll','');
 QuarantineFile('C:\Windows\system32\AB7F.tmp','');
 QuarantineFile('C:\Windows\msdownld.tmp','');
 QuarantineFileF('C:\Windows\system32\', '*.tmp', false, '', 0, 0);
 DeleteFile('C:\Windows\system32\qnsubhc.dll');
 DeleteFile('C:\Windows\system32\AB7F.tmp');
 DeleteFile('C:\Windows\msdownld.tmp');
 DeleteFileMask('C:\Windows\system32\', '*.tmp', false);
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

Пофиксите в HJT эти строки:

Код

O20 - AppInit_DLLs: C:\Windows\system32\qnsubhc.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - (no file)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Повторите логи AVZ и Rsit

Добавлено через 25 минут

@Jaro · 24.12.2011, 11:56 **[ТС]**

O20 - AppInit_DLLs: C:\Windows\system32\qnsubhc.dll

Этой строки у меня нету в HJT, вторую пофиксил. Сейчас жду скан в malwarebytes.

@shestale · 24.12.2011, 12:01

Сообщение от Jaro

Этой строки у меня нету в HJT, вторую пофиксил.

Она удалилась скриптом АВЗ. Это нормально.

@Jaro · 24.12.2011, 13:41 **[ТС]**

Все сделал.

@shestale · 24.12.2011, 13:57

Смотрю логи

Добавлено через 8 минут
Удали в МВАМ только эти строчки (если уже закрыл, то просканируй снова)

Код

c:\Users\User\AppData\Roaming\thinstall\tweakpdfconverter\%local appdata%\thinstall\Cache\Stubs\7f768f8164511bce16c71b1b2241724f83f7e56\tweak pdf converter.exe.420e8c.tmp (Trojan.Backdoor) -> No action taken.
c:\Users\User\AppData\Roaming\thinstall\tweakpdfconverter\%local appdata%\thinstall\Cache\Stubs\7f768f8164511bce16c71b1b2241724f83f7e56\tweak pdf converter.exe.4c8574.tmp (Trojan.Backdoor) -> No action taken.
c:\Users\User\AppData\Roaming\thinstall\tweakpdfconverter\%local appdata%\thinstall\Cache\Stubs\7f768f8164511bce16c71b1b2241724f83f7e56\tweak pdf converter.exe.de4e2c.tmp (Trojan.Backdoor) -> No action taken.

Как самочувствие системы?

@Jaro · 24.12.2011, 14:16 **[ТС]**

Все браузеры заработали, спасибо огромное!)
Щас еще в МБАМ просканирую и все

@shestale · 24.12.2011, 15:34

Деинсталируйте МВАМ
Пуск-Панель управления-Установка/удаление программ-найдите Malwarebytes Anti-Malware и нажмите удалить.

Вам необходимо:
1.создать новую контрольную точку восстановления и очистить предыдущие.
2.очистить временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.

Выполняйте пожалуйста рекомендации:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool.
- регулярно обновлять антивирус и антивирусные базы

Добавлено через 1 час 9 минут
Было заражение Trojan-Ransom.Win32.Cidox.axy (Kaspersky).

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.12.2011, 11:49	2
	Здравствуйте, смотрю логи. Добавлено через 31 минуту Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО. На вашем компьютере разрешен автозапуск. Для снижения риска последующих заражений, во время выполнения скрипта, вам будет предложено его отключить со всех носителей кроме CD. Выполните скрипт в АВЗ Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Users\User\AppData\Local\Temp\gWzVm31M.sys',''); QuarantineFile('C:\Windows\system32\qnsubhc.dll',''); QuarantineFile('C:\Windows\system32\AB7F.tmp',''); QuarantineFile('C:\Windows\msdownld.tmp',''); QuarantineFileF('C:\Windows\system32\', '.tmp', false, '', 0, 0); DeleteFile('C:\Windows\system32\qnsubhc.dll'); DeleteFile('C:\Windows\system32\AB7F.tmp'); DeleteFile('C:\Windows\msdownld.tmp'); DeleteFileMask('C:\Windows\system32\', '.tmp', false); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Компьютер перезагрузится, После перезагрузки: - выполните такой скрипт Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме. Пофиксите в HJT эти строки: Код O20 - AppInit_DLLs: C:\Windows\system32\qnsubhc.dll O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - (no file) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Повторите логи AVZ и Rsit Добавлено через 25 минут 1

@Jaro 0 / 0 / 0 Регистрация: 24.12.2011 Сообщений: 4
	24.12.2011, 11:56 [ТС]	3
	O20 - AppInit_DLLs: C:\Windows\system32\qnsubhc.dll Этой строки у меня нету в HJT, вторую пофиксил. Сейчас жду скан в malwarebytes. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.12.2011, 12:01	4
	Сообщение от Jaro Этой строки у меня нету в HJT, вторую пофиксил. Она удалилась скриптом АВЗ. Это нормально. 0

@Jaro 0 / 0 / 0 Регистрация: 24.12.2011 Сообщений: 4
	24.12.2011, 14:16 [ТС]	7
	Все браузеры заработали, спасибо огромное!) Щас еще в МБАМ просканирую и все 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.12.2011, 15:34	8
	Деинсталируйте МВАМ Пуск-Панель управления-Установка/удаление программ-найдите Malwarebytes Anti-Malware и нажмите удалить. Вам необходимо: 1.создать новую контрольную точку восстановления и очистить предыдущие. 2.очистить временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner. Выполняйте пожалуйста рекомендации: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows - регулярно проверять систему антивирусными утилитами CureIT и AVPTool. - регулярно обновлять антивирус и антивирусные базы Добавлено через 1 час 9 минут Было заражение Trojan-Ransom.Win32.Cidox.axy (Kaspersky). 0

Опции темы