Украли пароли от фтп.

alex_sev · Конфигурация компьютера

Подготовьте логи XueTr и OSAM

blefdlyk@vk · Отправлено: **11:26, 16-03-2012** | #3

Готово

alex_sev · Конфигурация компьютера

Эти файлы и папки удалите вручную:

Код:

2012-02-20 00:50:20 ----D---- C:\XeJKRZCjZHdiAtA
2012-02-20 00:50:20 ----D---- C:\Users\Bluff\AppData\Roaming\XeJKRZCjZHdiAtA
2012-02-15 00:11:21 ----A---- C:\plg.txt
2012-02-15 00:11:19 ----D---- C:\Users\Bluff\AppData\Roaming\PU9OCG0OgQgJQTJ
2012-02-15 00:11:19 ----D---- C:\PU9OCG0OgQgJQTJ
2012-02-10 18:08:09 ----D---- C:\lT5tG6gd6zjJI42

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
Код:
```
tdsskiller.exe -silent -qmbr -qboot
```
Запустите файл fix.bat;
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

blefdlyk@vk · mbam-log-2012-03-16 (22-51-23).txt

Готово. Объекты обнаруженные Malwarebytes' Anti-Malware пока не трогал.

iskander-k · Конфигурация компьютера

Удалите в МБАМ

Код:

HKCU\Software\Microsoft|setiasworld (Malware.Trace) -> Параметры: rcx3r3smglwbwl1s2eypp2wqc1wqhkb -> Действие не было предпринято.
HKCU\Software\Microsoft|bk (Malware.Trace) -> Параметры: -> Действие не было предпринято.
C:\Users\Bluff\AppData\Local\Temp\AB6F.tmp (Trojan.Agent.PE5) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056829.exe (Trojan.Downloader) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056903.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056921.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056922.exe (Trojan.Agent) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056923.exe (Trojan.Agent) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056924.exe (Trojan.Agent.CK) -> Действие не было предпринято.
E:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056925.exe (Trojan.Agent.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056495.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056185.exe (Trojan.Agent.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056188.exe (Malware.Packer.Gen) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056493.exe (Trojan.Downloader) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056494.EXE (Dont.Steal.Our.Software) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057063.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057088.exe (Trojan.Agent) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057089.exe (Trojan.Agent) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057090.exe (Trojan.Agent.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057091.exe (Trojan.Agent.CK) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057805.exe (Trojan.Downloader) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057827.exe (Trojan.Downloader) -> Действие не было предпринято.
F:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057944.exe (Adware.Clicker) -> Действие не было предпринято.
G:\System Volume Information\_restore{866399CC-24B3-4348-96BA-E0C0D40D88B5}\RP17\A0003570.exe (Trojan.Agent.CK) -> Действие не было предпринято.
G:\System Volume Information\_restore{D5B998CA-7015-4579-8B19-6EE69890C359}\RP125\A0063345.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056283.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP176\A0056219.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0056875.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0057179.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0059192.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP177\A0060420.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0063488.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0066510.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0068339.pif (Malware.Packer.Gen) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0067011.pif (Malware.Packer.Gen) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0069884.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{758C4FD9-947F-4525-8D78-3E6A3FFFC268}\RP179\A0070054.exe (Trojan.Downloader) -> Действие не было предпринято.
M:\System Volume Information\_restore{866399CC-24B3-4348-96BA-E0C0D40D88B5}\RP13\A0001252.exe (Trojan.Meredrop) -> Действие не было предпринято.
M:\System Volume Information\_restore{866399CC-24B3-4348-96BA-E0C0D40D88B5}\RP17\A0002941.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
C:\Users\Bluff\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Если случайно удалите нужное - легко восстановить через вкладку Карантин.

После лечения не забудьте обязательно поменять все ваши пароли.

blefdlyk@vk · Отправлено: **23:17, 16-03-2012** | #7

Все сделал, спасибо большое за помощь.
Есть еще вопрос по работе МБАМ. Он блокирует, наверное, четверть сайтов, пишет, что они заражены. Стоит ли ему доверять в этом или он может просто некорректно реагировать на некоторые скрипты? (Проверил эти сайты с помощью доктора веб, показал, что на них вредоносных скриптов не найдено)

iskander-k · Конфигурация компьютера

отключите протект либо удалите после окончания лечения. . (при установке нужно было просто отказаться от пробной версии - тогда она будет работать как сканер)
Логи RSIT и АВЗ повторите для проверки.