Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Троян Tofsee.AX (http://forum.oszone.net/showthread.php?t=268556)

Beaver74 22-09-2013 14:06 2221890
Троян Tofsee.AX
 
Здравствуйте
Собственные знания не позволяют избавиться от Tofsee.AX. Прошу Вашей помощи.

Beaver74 22-09-2013 14:11 2221895
Пардон, добавочка

Katharsis 22-09-2013 14:14 2221896
Здравствуйте, выложите весь комплект логов по правилам

Beaver74 22-09-2013 15:21 2221944
Пока не могу-комп гибнет, буду стараться что то запустить

Beaver74 22-09-2013 15:32 2221954
Перезагрузка помогла

thyrex 22-09-2013 15:51 2221975
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\documents and settings\admin\gikzmq.exe');
 QuarantineFile('c:\documents and settings\admin\gikzmq.exe','');
QuarantineFile('C:\Documents and Settings\Admin\qrjhhbtg.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\hrihihus\itbsdgdb.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\hrihihus\itbsdgdb.exe','32');
 DeleteFile('c:\documents and settings\admin\gikzmq.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\qrjhhbtg.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Adobe');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

Beaver74 22-09-2013 18:10 2222068
Новые логи

ПЫСЫ
Файл из Malwarebytes Anti-Malware
C:\WINDOWS\notepad.exe (Trojan.Agent) -> Действие не было предпринято.
не является вирусом исходя из моего предыдущего к вам обращения
http://forum.oszone.net/thread-264002.html

thyrex 22-09-2013 23:04 2222241
Код:
C:\Documents and Settings\Admin\Local Settings\Temp\5EE.tmp.exe (Trojan.Agent.MSC) -> Действие не было предпринято.
удалите

Что с проблемой?

regist 23-09-2013 00:00 2222279
+ Удалите если есть папку
Код:
C:\Documents and Settings\Admin\Application Data\hrihihus

Beaver74 23-09-2013 02:07 2222322
thyrex, проблема исчезла после работы скриптов AVZ
regist, на данный момент такой папки не существует

regist 23-09-2013 09:36 2222390
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.

Beaver74 23-09-2013 19:36 2222711
Выполнил
читать дальше »
Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 23.09.2013 18:34:15
Run directory: C:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 5.8
__________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 24.12.2012 14:15:16
Системный диск: C:\ ФС: NTFS Емкость: [81.6 Гб] Занято: [31.3 Гб] Свободно: [50.3 Гб]
Браузер по умолчанию: C:\Program Files\Opera\Opera.exe
-------------Windows------------------------------
Internet Explorer 8.0.6001.18702
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-09-13 19:55:24
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Восстановление системы отключено
-------------Antivirus_WMI------------------------
ESET NOD32 Antivirus 4.2
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
ESET NOD32 Antivirus v.4.2.40.10
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 6 Update 45 v.6.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^
Java(TM) SE Development Kit 6 Update 45 v.1.6.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u40-windows-i586.exe)^
Java Auto Updater v.2.0.7.2
Java DB 10.6.2.1 v.10.6.2.1
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.8.800.175 [+]
Adobe Flash Player 11 Plugin v.11.8.800.168
Adobe Reader XI (11.0.03) - Russian v.11.0.03
-------------Browser------------------------------
Mozilla Firefox 21.0 (x86 ru) v.21.0 Внимание! Скачать обновления
Opera 12.16 v.12.16.1860
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.16.1860.0
-------------EndLog-------------------------------

regist 23-09-2013 20:49 2222778
Деинсталируйте MBAM

Обновляйте
[quote]Java(TM) 6 Update 45 v.6.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^
Java(TM) SE Development Kit 6 Update 45 v.1.6.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u40-windows-i586.exe)^[/color]
Цитата:
Mozilla Firefox 21.0 (x86 ru) v.21.0 Внимание! Скачать обновления
смените пароли.

+ Выполните рекомендации после лечения

Beaver74 23-09-2013 23:34 2222847
Большое спасибо


Время: 06:43.

Время: 06:43.
© OSzone.net 2001-