Войти

Показать полную графическую версию : [решено] Троян заблокировал Оперу


Noktaduko
08-11-2012, 22:18
Здравствуйте! Суть проблемы в том, что при включении компьютера антивирус уведомляет о неудаляемой троянской программе Win32/Spy.SpyEye.CA. Браузер не открывается.

alex_sev
08-11-2012, 22:44
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\User\AppData\Local\Temp\1274637FdOh','');
QuarantineFile('C:\Users\User\AppData\Local\Temp\080343~1.EXE','');
QuarantineFile('C:\Users\User\0.4505626434676143.exe','');
QuarantineFile('C:\Windows\tasks\At1.job','');
QuarantineFile('C:\Windows\tasks\At2.job','');
DeleteFile('C:\Windows\tasks\At1.job');
DeleteFile('C:\Windows\tasks\At2.job');
DeleteFile('C:\Users\User\0.4505626434676143.exe');
DeleteFile('C:\Users\User\AppData\Local\Temp\080343~1.EXE');
DeleteFile('C:\Users\User\AppData\Local\Temp\1274637FdOh');
DeleteFile('copy C:\Users\User\AppData\Local\Temp\1274637FdOh C:\Windows\system32\drivers\etc\hosts');
DeleteFileMask('C:\ProgramData\DxzSzoJfZJ4', '*.*', true);
DeleteDirectory('C:\ProgramData\DxzSzoJfZJ4');
DeleteFileMask('C:\Users\User\AppData\Roaming\c7c0d132', '*.*', true);
DeleteDirectory('C:\Users\User\AppData\Roaming\c7c0d132');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1274699');
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://safezone.cc/forum/showthread.php?t=9) (некоторые строки могут отсутствовать):
F3 - REG:win.ini: run=C:\Users\User\AppData\Local\Temp\080343~1.EXE
O4 - HKLM\..\Run: [1274699] cmd.exe /c copy C:\Users\User\AppData\Local\Temp\1274637FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f


Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

+

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

+

Скачайте архив TDSSKiller.zip (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:tdsskiller.exe -silent -qmbr -qboot Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь. Запустите файл TDSSKiller.exe; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщениюПо умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Noktaduko
09-11-2012, 07:53
Вот запрошенные файлы.

alex_sev
09-11-2012, 09:29
Лог TDSSKiller где?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\WinUpdaterstd\WinSocks.sw','');
QuarantineFile('C:\systemhost\24FC2AE3C2B.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\wndsksi.inf','');
DeleteFile('C:\Windows\WinUpdaterstd\WinSocks.sw');
DeleteFile('C:\systemhost\24FC2AE3C2B.exe');
DeleteFile('C:\Users\User\AppData\Roaming\wndsksi.inf');
DeleteFileMask('C:\Windows\WinUpdaterstd\', '*.*', true);
DeleteDirectory('C:\Windows\WinUpdaterstd\');
DeleteFileMask('C:\systemhost\', '*.*', true);
DeleteDirectory('C:\systemhost\');
RegKeyResetSecurity('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Run');
RegKeyResetSecurity('HKU','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run');
RegKeyParamDel('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F4EXG1X9I');
RegKeyParamDel('HKU','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F4EXG1X9I');
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://safezone.cc/forum/showthread.php?t=9) (некоторые строки могут отсутствовать):
O4 - HKCU\..\Run: [YI9B2F0F4EXG1X9I] C:\systemhost\24FC2AE3C2B.exe

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


+


Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Когда увидите консоль, нажмите любую клавишу для продолжения сканирования Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt; Прикрепите файл к следующему сообщению.Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=17023).

Noktaduko
09-11-2012, 16:25
Забыл про лог TDSSKiller, извините. Вот новые файлы + лог TDSSKiller.

alex_sev
09-11-2012, 16:43
Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы AVZ и сделайте новый лог virusinfo_syscheck.zip

Повторите сканирование в MBAM и если будут обнаружены удалите следующие объекты:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|YI9B2F0F4EXG1X9I (Trojan.SpyEyes.R) -> Параметры: C:\systemhost\24FC2AE3C2B.exe -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|YI9B2F0F4EXG1X9I (Trojan.SpyEyes.R) -> Параметры: C:\systemhost\24FC2AE3C2B.exe -> Действие не было предпринято.
C:\systemhost\24FC2AE3C2B.exe (Trojan.SpyEyes.R) -> Действие не было предпринято.


Деинсталлируйте старую версию Java через установку/удаление программ:

Java(TM) 6 Update 29
Java version out of Date!


Скачайте новую версию и установите: Java SE (http://www.oracle.com/technetwork/java/javase/downloads/index.html)

Скачайте и установите последние версии:

Adobe Reader (http://get.adobe.com/reader/otherversions/)
Chrome (http://www.google.com/intl/ru/chrome/browser/)


Смените все важные пароли!!!




© OSzone.net 2001-2012