PDA

Показать полную графическую версию : Живучий вирус СC.tmp.exe меняющий свой номер


sztksales
30-07-2013, 10:24
Добрый день Хелперы!
Ткакая прблема: Вчера увидел, что у меня стоит прога с номером CC.tmp.exe лежащая в папке по адресу C/Temp/ от производителя Steinberg и она постоянно пытается выйти в интернет и при запуске компа уже стоит разрешенной в автоматическом запуске программой в работе компьютера. При попытки ее удалить в ручную она удаляется и ровно через несколько секунд снова появляется на том же месте но уже с другим номером например 1C.tmp.exe
Сегодня она уже с названием 1.tmp.exe
Проверял Dr.web - он не распознает, что это вирус.
Помогите мне его удалить. Выкладываю вам логи.

iskander-k
31-07-2013, 00:26
лог РСИТ где ?


• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

sztksales
31-07-2013, 09:45
iskander-k, Добрый день.
Прикладываю логи RSIT и MBAM

akok
31-07-2013, 12:25
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\TEMP\1.tmp.exe','');
DeleteFile('C:\TEMP\1.tmp.exe','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы (http://www.oszone.net/virusnet/)

Подготовьте лог UVS (http://safezone.cc/forum/showthread.php?t=14508)

sztksales
31-07-2013, 18:42
akok,

Выполнил ваш скрипт через AVZ, перезагрузил компьютер - файла 1.tmp.exe больше нет!!!!! :clapping:
И он больше в папке C/Temp не востанавливается.
Полученный архив отправил при помощи вашей формы.

Прикладываю вам лог UVS.

regist
31-07-2013, 21:30
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\XENOCODE\XSANDBOX\MACHINE TRANSLATION SYSTEMS OF PROMT COMPANY\7.00\2008.10.15T07.15\VIRTUAL\STUBEXE\@PROGRAMFILESCOMMON@\PROJECT MT\PRMT6\PRMTSVR.EXE В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/forum/showthread.php?t=19310) с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

sztksales
01-08-2013, 17:09
regist,

Не могу вам выслать скрипт от uVS по почте quarantine <at> safezone.cc (замените <at> на @)
Видно у вас сервер не работает. 4 раза пытался вам отправить... все возвращается обратно.

Выставляю Вам новый лог по MBAM

Тему можно считать закрытой. Всем спасибо....

regist
01-08-2013, 18:30
перезагрузите компьютер и сделайте новый лог сканирования MBAM.

Загрузите SecurityCheck by glax24 отсюда (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом разделе (http://safezone.cc/forum/showthread.php?t=19622) форума поддержки утилиты.

sztksales
01-08-2013, 21:17
regist,

Выкладываю Вам новый лог после сканирования MBAM.
Выкладываю Вам лог в блокноте с именем SecurityCheck.txt;

regist
02-08-2013, 00:20
C:\WINDOWS\Installer\acfb56.msi - рекомендую удалить, это инсталятор AskToolbar тулбара.

деинсталируйте MBAM.

Установите обновления:

JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/javafxjdk6-1728173.html)
^Скачайте javafx-2_2_21-windows-i586.exe^
Adobe Flash Player 11 ActiveX v.11.7.700.224 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe)
Adobe Flash Player 11 Plugin v.11.7.700.224 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_plugin.exe)


Выполните рекомендации после лечения (http://safezone.cc/forum/showthread.php?t=16715)

sztksales
02-08-2013, 19:10
regist,

Спасибо Вам большое за умные советы!!! :up




© OSzone.net 2001-2012