Аваст выдает вирус http://mamixikusah.eu/login.php с этого сайта

Murad4ik · 13.02.2012, 12:34

Добрый день, у меня уже пару недель выдается оповещение о вирусе с сайта http://mamixikusah.eu/login.php ,анти вирус стоит у меня Аваст.вот что выдает :
Детали заражения

URL: http://mamixikusah.eu/login.php
Процесс: file://C:\Windows\Explorer.EXE
Инфекция: al

http://rghost.ru/36493230 - пароля нет,это обзор с программы Universal Virus Sniffer.

Браузер Мазила и Опера не работают,Гугл хром работает но тоже глючит.

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Версия базы данных: v2012.01.13.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Мурад :: FANTOM [администратор]

13.02.2012 11:13:19
mbam-log-2012-02-13 (11-20-49).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 168139
Времени прошло: 4 минут , 58 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |userinit (Trojan.Agent) -> Параметры: C:\Windows\AppPatch\crmgok.exe -> Действие не было предпринято.

Объекты реестра обнаружены: 6
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Agent) -> Плохо: (C:\Windows\AppPatch\crmgok.exe) Хорошо: () -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|System (Trojan.Agent) -> Плохо: (C:\Windows\AppPatch\crmgok.exe) Хорошо: () -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Agent) -> Плохо: (C:\Windows\AppPatch\crmgok.exe) Хорошо: () -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Run (Trojan.Agent) -> Плохо: (C:\Windows\AppPatch\crmgok.exe) Хорошо: () -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\SYSTEM32\USERINIT.EXE,C:\Windows\AppPa tch\crmgok.exe,) Хорошо: (userinit.exe) -> Действие не было предпринято.

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 4
C:\Windows\write.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\Users\Мурад\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\Windows\AppPatch\crmgok.exe (Trojan.Agent) -> Действие не было предпринято.

(конец)

safety · 13.02.2012, 12:41

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemRoot%\APPPATCH\CRMGOK.EXE
addsgn A7679B19B9461B2486D904522BC8A92E94B9FC31CC12C64A99C3C6E1B8858E595F3780579DCB7A062B4781B7A45949FA7DDFE8F948F252632D24636A2B062273 8 spy.shiz

bl C53F32977FFC778164BB114E33BF3BD6 248832
delall %SystemRoot%\APPPATCH\CRMGOK.EXE
delall %SystemDrive%\USERS\6A02~1\APPDATA\LOCAL\TEMP\EULA.BAT
chklst
delvir
deltmp
delnfr
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com
если архив не был создан автоматически, добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем infected
----------
далее,
выполните быстрое сканирование в Malwarebytes

Murad4ik · 13.02.2012, 13:55

сделал,сюда что то надо выкладывать?

safety · 13.02.2012, 13:57

выкладывать на обменник как всегда, ссылку на логи - сюда.

Murad4ik · 13.02.2012, 14:04

http://rghost.ru/36494196

---------- Добавлено в 13:04 ---------- Предыдущее сообщение было написано в 13:03 ----------

дальше какие мне действия делать?

safety · 13.02.2012, 14:05

удалите все кроме

Цитата:

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

перезагрузка,
новое сканирование в мбам

Murad4ik · 13.02.2012, 14:14

Сделаю.Огромное спасибо заранее,я хоть вижу что вы работаете а не как этот аваст ...Кстати хочу услышать ваш совет по поводу анти вируса,какой сейчас хотя бы на что то годится?

safety · 13.02.2012, 14:18

из бесплатных можно попробовать Microsoft Essentials, в том случае, если Windows лицензионная, а более - нет вариантов из совсем уж бесплатного.

Murad4ik · 13.02.2012, 15:21

пробовал его,у меня вин 7 максимальная ломаная,у меня такие "праздники жизни" на компьютере были

еле удалил.ну а из касперского, др.веб, аваст, нод32, хотя бы что будет ловить что то,что можно?

safety · 13.02.2012, 15:24

все пропускают. Возможно надежнее будет Касперский и ДрВеб, но вот насколько они нагружают систему - не знаю. Не использую в работе.

Murad4ik · 13.02.2012, 15:28

а чем сами пользуетесь?

safety · 13.02.2012, 15:29

ESS 4 или 5.

Murad4ik · 13.02.2012, 15:37

проверил снова мбамом и выдает только одну
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter
и все.
Благодарю за помощь.Что бы я без вас делал)

13.02.2012, 12:34	#1 (ссылка)
Murad4ik Новичок Регистрация: 13.02.2012 Сообщений: 15 Репутация: 0	Аваст выдает вирус http://mamixikusah.eu/login.php с этого сайта Добрый день, у меня уже пару недель выдается оповещение о вирусе с сайта http://mamixikusah.eu/login.php ,анти вирус стоит у меня Аваст.вот что выдает : Детали заражения URL: http://mamixikusah.eu/login.php Процесс: file://C:\Windows\Explorer.EXE Инфекция: al http://rghost.ru/36493230 - пароля нет,это обзор с программы Universal Virus Sniffer. Браузер Мазила и Опера не работают,Гугл хром работает но тоже глючит. Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Версия базы данных: v2012.01.13.04 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 Мурад :: FANTOM [администратор] 13.02.2012 11:13:19 mbam-log-2012-02-13 (11-20-49).txt Тип сканирования: Быстрое сканирование Опции сканирования включены: Память \| Запуск \| Реестр \| Файловая система \| Эвристика/Дополнительно \| Эвристика/Шурикен \| PUP \| PUM Опции сканирования отключены: P2P Просканированные объекты: 168139 Времени прошло: 4 минут , 58 секунд Обнаруженные процессы в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные модули в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные ключи в реестре: 0 (Вредоносных программ не обнаружено) Обнаруженные параметры в реестре: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \|userinit (Trojan.Agent) -> Параметры: C:\Windows\AppPatch\crmgok.exe -> Действие не было предпринято. Объекты реестра обнаружены: 6 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\|Userinit (Trojan.Agent) -> Плохо: (C:\Windows\AppPatch\crmgok.exe) Хорошо: () -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\|System (Trojan.Agent) -> Плохо: (C:\Windows\AppPatch\crmgok.exe) Хорошо: () -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\|Load (Trojan.Agent) -> Плохо: (C:\Windows\AppPatch\crmgok.exe) Хорошо: () -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\|Run (Trojan.Agent) -> Плохо: (C:\Windows\AppPatch\crmgok.exe) Хорошо: () -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\SYSTEM32\USERINIT.EXE,C:\Windows\AppPa tch\crmgok.exe,) Хорошо: (userinit.exe) -> Действие не было предпринято. Обнаруженные папки: 0 (Вредоносных программ не обнаружено) Обнаруженные файлы: 4 C:\Windows\write.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Users\Мурад\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято. C:\Windows\AppPatch\crmgok.exe (Trojan.Agent) -> Действие не было предпринято. (конец)

13.02.2012, 12:41	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemRoot%\APPPATCH\CRMGOK.EXE addsgn A7679B19B9461B2486D904522BC8A92E94B9FC31CC12C64A99C3C6E1B8858E595F3780579DCB7A062B4781B7A45949FA7DDFE8F948F252632D24636A2B062273 8 spy.shiz bl C53F32977FFC778164BB114E33BF3BD6 248832 delall %SystemRoot%\APPPATCH\CRMGOK.EXE delall %SystemDrive%\USERS\6A02~1\APPDATA\LOCAL\TEMP\EULA.BAT chklst delvir deltmp delnfr regt 12 restart перезагрузка, пишем о старых и новых проблемах. архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com если архив не был создан автоматически, добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем infected ---------- далее, выполните быстрое сканирование в Malwarebytes

13.02.2012, 15:21	#9 (ссылка)
Murad4ik Новичок Регистрация: 13.02.2012 Сообщений: 15 Репутация: 0	пробовал его,у меня вин 7 максимальная ломаная,у меня такие "праздники жизни" на компьютере былиеле удалил.ну а из касперского, др.веб, аваст, нод32, хотя бы что будет ловить что то,что можно?

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
При подключении устройства к компу выдаёт ошибку - запуск этого устройства невозможен	Pity	Драйвера	0	20.04.2011 19:11
с программой с этого сайта проблемы	arois	Программы	2	04.12.2010 21:52
Странный аваст или вирус?	FOGEL1	Безопасность	10	05.10.2010 22:27
При открытии сайта выдает сохранение главной страницы на диск	Новичок333	Веб-строительство	7	14.07.2009 23:57

13.02.2012, 13:55	#3 (ссылка)
Murad4ik Новичок Регистрация: 13.02.2012 Сообщений: 15 Репутация: 0	сделал,сюда что то надо выкладывать?

13.02.2012, 13:57	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выкладывать на обменник как всегда, ссылку на логи - сюда.

13.02.2012, 14:04	#5 (ссылка)
Murad4ik Новичок Регистрация: 13.02.2012 Сообщений: 15 Репутация: 0	http://rghost.ru/36494196 ---------- Добавлено в 13:04 ---------- Предыдущее сообщение было написано в 13:03 ---------- дальше какие мне действия делать?

13.02.2012, 14:14	#7 (ссылка)
Murad4ik Новичок Регистрация: 13.02.2012 Сообщений: 15 Репутация: 0	Сделаю.Огромное спасибо заранее,я хоть вижу что вы работаете а не как этот аваст ...Кстати хочу услышать ваш совет по поводу анти вируса,какой сейчас хотя бы на что то годится?

13.02.2012, 14:18	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	из бесплатных можно попробовать Microsoft Essentials, в том случае, если Windows лицензионная, а более - нет вариантов из совсем уж бесплатного.

13.02.2012, 15:24	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	все пропускают. Возможно надежнее будет Касперский и ДрВеб, но вот насколько они нагружают систему - не знаю. Не использую в работе.

13.02.2012, 15:28	#11 (ссылка)
Murad4ik Новичок Регистрация: 13.02.2012 Сообщений: 15 Репутация: 0	а чем сами пользуетесь?

13.02.2012, 15:29	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	ESS 4 или 5.

13.02.2012, 15:37	#13 (ссылка)
Murad4ik Новичок Регистрация: 13.02.2012 Сообщений: 15 Репутация: 0	проверил снова мбамом и выдает только одну HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter и все. Благодарю за помощь.Что бы я без вас делал)

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads