Вирус похоже логи крадет

vovain · 12.03.2014, 23:45

По удалял из автозапуска вручную вот сам вирус http://rutracker.org/forum/viewtopic.php?t=4497442
1)uVS http://gfile.ru/a5xbj
2)AVZ http://gfile.ru/a81ag

safety · 13.03.2014, 07:03

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.82.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

OFFSGNSAVE
delall %SystemDrive%\USERS\ВЛАДИМИР\APPDATA\ROAMING\SVCHOST.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\ATI TECHNOLOGIES\ATI.ACE\BRANDING\BRANDING.DLL
hide %SystemDrive%\PROGRAM FILES (X86)\ATI TECHNOLOGIES\ATI.ACE\BRANDING\BRANDINGNET4.DLL
hide %SystemDrive%\PROGRAM FILES (X86)\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\CLI.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\STARDOCK\OBJECT DESKTOP\ICONDEVELOPER\MICROSOFT.WIN32.HOOKS.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3324790&OCTID=EB_ORIGINAL_CTID&SEARCHSOURCE=55&CUI=&UM=4&UP=SPCA589210-45B8-45A6-9B6B-C74EE4261384&SSPV=

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes

vovain · 13.03.2014, 12:01

Вот лог

Цитата:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Версия базы данных: v2014.03.13.03

Windows 8 x64 NTFS
Internet Explorer 11.0.9600.16521
Владимир :: PC [администратор]

13.03.2014 10:56:13
mbam-log-2014-03-13 (10-56-13).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 216706
Времени прошло: 3 минут , 36 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 0
(Вредоносных программ не обнаружено)

(конец)

safety · 13.03.2014, 12:40

сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

vovain · 13.03.2014, 12:45

АдвКлинер

Цитата:

# AdwCleaner v3.021 - Report created 13/03/2014 at 11:43:18
# Updated 10/03/2014 by Xplode
# Operating System : Windows 8.1 Enterprise (64 bits)
# Username : Владимир - PC
# Running from : C:\Users\Владимир\Desktop\adwcleaner.exe
# Option : Scan

***** [ Services ] *****

***** [ Files / Folders ] *****

File Found : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Search.lnk
File Found : C:\Users\Владимир\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_search.conduit.com_0.localstorage
File Found : C:\Users\Владимир\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_search.conduit.com_0.localstorage-journal

***** [ Shortcuts ] *****

Shortcut Found : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Feature Manager.lnk ( start StartNow splash )

***** [ Registry ] *****

Key Found : HKCU\Software\23556fb1360f366337f97c924e76ead3
Key Found : HKLM\SOFTWARE\Classes\CLSID\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}
Key Found : [x64] HKLM\SOFTWARE\Classes\CLSID\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}
Key Found : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}

***** [ Browsers ] *****

-\\ Internet Explorer v11.0.9600.16518

-\\ Mozilla Firefox v19.0.2 (ru)

[ File : C:\Users\Владимир\AppData\Roaming\Mozilla\Firefox\ Profiles\0f41cszt.default\prefs.js ]

-\\ Google Chrome v33.0.1750.146

[ File : C:\Users\Владимир\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Found : homepage
Found : homepage
Found : homepage

*************************

AdwCleaner[R0].txt - [1758 octets] - [13/03/2014 11:43:18]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [1818 octets] ##########

safety · 13.03.2014, 12:50

в адвклинере удалите все найденное по кнопке clean

далее,

закрываем уязвимости

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

и на этом все.

vovain · 13.03.2014, 13:06

Спасибо. Нашел только, что старый Mozilla Firefox. Поставил новый

12.03.2014, 23:45	#1 (ссылка)
vovain Новичок Регистрация: 02.02.2014 Сообщений: 20 Репутация: 0	Вирус похоже логи крадет По удалял из автозапуска вручную вот сам вирус http://rutracker.org/forum/viewtopic.php?t=4497442 1)uVS http://gfile.ru/a5xbj 2)AVZ http://gfile.ru/a81ag

13.03.2014, 07:03	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.82.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 OFFSGNSAVE delall %SystemDrive%\USERS\ВЛАДИМИР\APPDATA\ROAMING\SVCHOST.EXE hide %SystemDrive%\PROGRAM FILES (X86)\ATI TECHNOLOGIES\ATI.ACE\BRANDING\BRANDING.DLL hide %SystemDrive%\PROGRAM FILES (X86)\ATI TECHNOLOGIES\ATI.ACE\BRANDING\BRANDINGNET4.DLL hide %SystemDrive%\PROGRAM FILES (X86)\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\CLI.EXE hide %SystemDrive%\PROGRAM FILES (X86)\STARDOCK\OBJECT DESKTOP\ICONDEVELOPER\MICROSOFT.WIN32.HOOKS.DLL ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3324790&OCTID=EB_ORIGINAL_CTID&SEARCHSOURCE=55&CUI=&UM=4&UP=SPCA589210-45B8-45A6-9B6B-C74EE4261384&SSPV= deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование в Malwarebytes

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Похоже поймал вирус,логи готовы	bigmal	Безопасность	28	23.01.2014 18:19
Что-то крадет память компьютера	Andrew16	Безопасность	1	06.09.2013 12:14
Похоже на вирус	Headsho	Безопасность	13	26.04.2012 20:35
Прошу помощи - вирус, похоже Win32/TrojanDownloader.Carberp.AF. Логи в теме.	typist	Безопасность	5	03.02.2012 04:46
Похоже вирус.	Ampa1R	Безопасность	1	03.08.2011 00:53

13.03.2014, 12:40	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672

13.03.2014, 12:50	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	в адвклинере удалите все найденное по кнопке clean далее, закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. и на этом все.

13.03.2014, 13:06	#7 (ссылка)
vovain Новичок Регистрация: 02.02.2014 Сообщений: 20 Репутация: 0	Спасибо. Нашел только, что старый Mozilla Firefox. Поставил новый

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads