Решена Рабочий комп заболел Trojan.Win32.Generic

Статус
В этой теме нельзя размещать новые ответы.

Илья312

Новый пользователь
Сообщения
20
Реакции
2
Компьютер с установленным АРМ и антивирусом Касперского для WorkStation 6, подключен к Интернету через локальную сеть. ОС WinXP Начали закрадываться подозрения, после нескольких часов работы и запустил полную проверку проверку Каспер нашел несколько вирусов в общей папке (подкаталоги beloff_12.07 DVD? EXTREM (D)). Удалил, после перезагрузки и повторной проверки троян перекочевал в Microsoft_Access_2007 (в Document and Settings), файл помещен на карантин.

Третья проверка показала что комп чист, однако подозрения не исчезли. Прикладываю логи AVZ и HJT,

Подскажите как можно папки BELOFF_DVD 12.07 И EXTREM поместить на карантин, KIS вроде позволял кидать целые папки, на этой машине установлен только workstation 6?
 

Вложения

  • virusinfo_syscheck.zip
    23.8 KB · Просмотры: 0
  • virusinfo_syscure.zip
    26 KB · Просмотры: 0
  • hijackthis.log
    7.5 KB · Просмотры: 0
Извините мою невнимательность, по старой привычке все вручную делал. Вот,

Вспомнил, мб будет полезна информация.
При открытой Опере, иногда вылазит новое окно со множеством вкладок рекламного характера. Перед тем, что описал в стартовом посте, решил почистить кэш IE, Opera (Снес Amigo и сервисы Mail.ru, Спутник), отключил все плагины оперы. Так вирус и нашел.
 

Вложения

  • CollectionLog-2016.06.20-17.35.zip
    66.9 KB · Просмотры: 8
Последнее редактирование:
Здравствуйте, Илья312!

Заархивируйте с паролем virus папку
C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки
и отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на эту тему в заголовке сообщения и с указанием пароля: virus в теле письма.
 
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search



Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
move.gif
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.
 
Извините за задержку, из дома к рабочему компу доступа не имею
Dragokas, файл выслан по вышеуказанной ссылке, размером -6кб (применялся 7-zip).
thyrex, пофиксил, вот отчет:
ClearLNK by Alex Dragokas ver. 2.9.0.7

OS: x32 Windows XP Professional, 5.1.2600, Service Pack: 3
Time: 21.06.2016 - 11:38
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
User: User (group: Administrator). SM=Personal + SingleUserTS, PT=Workstation.

_____________________________ Начало лога ______________________________
.
[ OK ] 1 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Internet Explorer (2).lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ] (Метод R5-A2) (ОК)
[ OK ] 2 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Internet Explorer.lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ] (Метод R5-A2) (ОК)
[ OK ] 3 "C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk" -> [ "C:\Program Files\Internet Explorer\iexplore.exe" hxxp://www.mail.ru ] (Метод RN-S) (ОК)
.
[DEL ] 4 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Одноклассники.lnk" (цель не восстановлена)
[DEL ] 5 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Войти в Интернет.lnk" (цель не восстановлена)
[DEL ] 6 "C:\Documents and Settings\User\Рабочий стол\KitchenDraw.lnk" (цель не восстановлена)
[DEL ] 7 "C:\Documents and Settings\User\Рабочий стол\Ярлык для архив 2015.lnk" (цель не восстановлена)
[DEL ] 8 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Canon LASER SHOT LBP-1120.LNK" (цель не восстановлена)
[DEL ] 9 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Continue EMS SQL Manager 2007 Lite for DB2 Installation.lnk" (цель не восстановлена)
[DEL ] 10 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Continue Logic Architect Installation.lnk" (цель не восстановлена)
[DEL ] 11 "C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Wireless Connection Manager.lnk" (цель не восстановлена)
[DEL ] 12 "C:\Documents and Settings\User\Рабочий стол\Письма\Нотариат 2013\наследства\5-2013\04-2004.lnk" (цель не восстановлена)
[DEL ] 13 "C:\Documents and Settings\All Users\Главное меню\Программы\Microsoft Visual Basic 6.0\Microsoft Visual Basic 6.0.lnk" (цель не восстановлена)
[DEL ] 14 "C:\Documents and Settings\All Users\Главное меню\Программы\Microsoft Visual Basic 6.0\Microsoft Visual Basic 6.0 Tools\Package & Deployment Wizard.lnk" (цель не восстановлена)
[DEL ] 15 "C:\Documents and Settings\All Users\Главное меню\Программы\Информационная система еНот\Руководство пользователя.lnk" (цель не восстановлена)
[DEL ] 16 "C:\Documents and Settings\All Users\Главное меню\Программы\Информационная система еНот\Сайт в Интернет.lnk" (цель не восстановлена)
[DEL ] 17 "C:\Documents and Settings\All Users\Избранное\Mail.Ru.url"
.

______________________________ Статистика ______________________________
Лечение запущено: 1 раз за сегодня.

Всего обработано: 17

Исправлено: 3
Удалено: 14
____________________________ Конец отчета ______________________________CRC32: 9714B421
 
Отправил карантин по почте, тело письма содержит информацию что оно пересылаемое,в первый раз не удалось отправить.
 
К сожалению, присланное Вами письмо не содержит вложения.
 
к сожалению по указанному адресу не получается отправить письмо, вот что сообщает yandex
<quarantine@safezone.cc>: host aspmx.l.google.com[2a00:1

450:4010:c04::1b] said:
552-5.7.0 This message was blocked because its content presents a potential
552-5.7.0 security issue. Please visit 552-5.7.0
Some file types are blocked - Gmail Help to review our message 552 5.7.0
content and attachment content guidelines. l126si302532lfd.17 - gsmtp (in
reply to end of DATA command)

Статус доставки:

Reporting-MTA: dns; forward1m.cmail.yandex.ne
t
X-Yandex-Queue-ID: 1AC1121112
X-Yandex-Sender: rfc822; dormin312@yandex.ru
Arrival-Date: Wed, 22 Jun 2016 17:12:14 +0300 (MSK)

Final-Recipient: rfc822; quarantine@safezone.cc
Original-Recipient: rfc822;quarantine@safezone.cc
Action: failed
Status: 5.7.0
Remote-MTA: dns; aspmx.l.google.com
Diagnostic-Code: smtp; 552-5.7.0 This message was blocked because its content
presents a potential 552-5.7.0 security issue. Please visit 552-5.7.0
Some file types are blocked - Gmail Help to review our message 552 5.7.0
content and attachment content guidelines. l126si302532lfd.17 - gsmtp

укажите, пожалуйста, другой адрес почты или способ отправки письма с карантином.
Теперь и сам понял, вложения блокирует )))
Переслал повторно, может быть рамблер не будет придираться Р
 
Последнее редактирование:
Потому что при пересылке некоторые почтовые службы отсоединяют вложения.
Необходимо просто заново создать письмо (не нажимая кнопку "Переслать").
Закачайте архив через файлообменник, например rghost.ru и пришлите ссылку сюда.
 
выполнено, пароль для скачивания safezone
 
Последнее редактирование модератором:
И какой пароль?
 
проверил - ссылка выводится при вводе safezone, все скачивается свободно.
 
Пожалуйста, распакуйте этот архив у себя и запустите ярлык Internet Explorer (2)
Скажите, запускается ли через него браузер?
 
Да, запускается IE, запускал с другого компьютера, который не в конторе, открыл версию IE9. Не могу знать наверняка, возможно, просто когда то бывший пользователь скопировал ярлык, но сумма MD5 не читается.
 
Запустите AVZ - сервис - поиск данных по реестру - введите webalta - все найденное сохраните в файл и прикрепите.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Koza Nozdri, прикрепляю отчет. Остатки от mail.ru видимо не все удалились (или они вернулись), по остальным пунктам, жду ваших рекомендаций, не буду рисковать.
 

Вложения

  • AdwCleaner[S1].txt
    2.6 KB · Просмотры: 2
Отметьте и удалите все найденное.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению
 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу