Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Живучий вирус СC.tmp.exe меняющий свой номер (http://forum.oszone.net/showthread.php?t=265217)

sztksales 30-07-2013 10:24 2193142
Живучий вирус СC.tmp.exe меняющий свой номер
 
Добрый день Хелперы!
Ткакая прблема: Вчера увидел, что у меня стоит прога с номером CC.tmp.exe лежащая в папке по адресу C/Temp/ от производителя Steinberg и она постоянно пытается выйти в интернет и при запуске компа уже стоит разрешенной в автоматическом запуске программой в работе компьютера. При попытки ее удалить в ручную она удаляется и ровно через несколько секунд снова появляется на том же месте но уже с другим номером например 1C.tmp.exe
Сегодня она уже с названием 1.tmp.exe
Проверял Dr.web - он не распознает, что это вирус.
Помогите мне его удалить. Выкладываю вам логи.

iskander-k 31-07-2013 00:26 2193674
лог РСИТ где ?


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

sztksales 31-07-2013 09:45 2193783
iskander-k, Добрый день.
Прикладываю логи RSIT и MBAM

akok 31-07-2013 12:25 2193892
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\TEMP\1.tmp.exe','');
 DeleteFile('C:\TEMP\1.tmp.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Подготовьте лог UVS

sztksales 31-07-2013 18:42 2194132
akok,

Выполнил ваш скрипт через AVZ, перезагрузил компьютер - файла 1.tmp.exe больше нет!!!!! :clapping:
И он больше в папке C/Temp не востанавливается.
Полученный архив отправил при помощи вашей формы.

Прикладываю вам лог UVS.

regist 31-07-2013 21:30 2194253
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.80.13 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1

    OFFSGNSAVE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\XSANDBOX\MACHINE TRANSLATION SYSTEMS OF PROMT COMPANY\7.00\2008.10.15T07.15\VIRTUAL\STUBEXE\@PROGRAMFILESCOMMON@\PROJECT MT\PRMT6\PRMTSVR.EXE
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

sztksales 01-08-2013 17:09 2194619
regist,

Не могу вам выслать скрипт от uVS по почте quarantine <at> safezone.cc (замените <at> на @)
Видно у вас сервер не работает. 4 раза пытался вам отправить... все возвращается обратно.

Выставляю Вам новый лог по MBAM

Тему можно считать закрытой. Всем спасибо....

regist 01-08-2013 18:30 2194689
перезагрузите компьютер и сделайте новый лог сканирования MBAM.
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.

sztksales 01-08-2013 21:17 2194770
regist,

Выкладываю Вам новый лог после сканирования MBAM.
Выкладываю Вам лог в блокноте с именем SecurityCheck.txt;

regist 02-08-2013 00:20 2194881
C:\WINDOWS\Installer\acfb56.msi - рекомендую удалить, это инсталятор AskToolbar тулбара.

деинсталируйте MBAM.

Установите обновления:

JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления
^Скачайте javafx-2_2_21-windows-i586.exe^
Adobe Flash Player 11 ActiveX v.11.7.700.224 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.7.700.224 Внимание! Скачать обновления


Выполните рекомендации после лечения

sztksales 02-08-2013 19:10 2195367
regist,

Спасибо Вам большое за умные советы!!! :up


Время: 20:30.

Время: 20:30.
© OSzone.net 2001-