Решена - Вирус trojan.mayachok.1

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Ивантец, 11 окт 2011.

Статус темы:
Закрыта.
  1. Доброй ночи! Два дня назад зайдя на сайт одного из операторов сотовой связи компьютер ушел в ребут. После этого начались проблемы с интернетом. Не открывается большинство сайтов в Опере, выдавая сообщение, что соединение закрыто удаленным сервером.
    В IE 9 - не открываются страницы вообще, после сброса настроек - открываются, но после перезагрузки - все повторяется вновь.
    В Мозиле - не открываются вообще никаким образом.
    Запустил Dr.Web CureIt - нашелся процесс в памяти trojan.mayachok.1 - был помечен, как обезврежен.
    Virus Removal Tool тоже пробежала, нашла вирус, вылечила.
    Но как-то безрезультатно. После перезагрузки опять не открываются сайты, когда запускаю Dr.Web CureIt, он находит опять данного паразита. При надписи обезврежен и проверке, сайты в Опере хотя бы открываются. Но не держать же постоянную проверку. Одна надежда на Вас, Уважаемые.

    http://webfile.ru/5598104
    http://webfile.ru/5598120
    http://webfile.ru/5598126
     
  2. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     DeleteFile('C:\Windows\system32\kweczzb.dll');
     DeleteFile('C:\Windows\Installer\81014.msi');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O4 - Startup: Dropbox.lnk = C:\Users\12345\AppData\Roaming\Dropbox\bin\Dropbox.exe
    O23 - Service: @dfsrres.dll,-101 (DFSR) - Корпорация Майкрософт - C:\Windows\system32\DFSR.exe
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
  3. Здравствуйте, Oleg!
    Спасибо, что не оставили мой вопрос без внимания.
    http://webfile.ru/5600646
    http://webfile.ru/5600648
    http://webfile.ru/5600649

    Не совсем уверен, что сделал правильные логи с MBAM, но у меня не открылся файл в блокноте, как описано в инструкции, если необходимо - переделаю, только подскажите куда нажимать:)
    http://webfile.ru/5600654

    Когда фиксил, то не нашел строку
    O4 - Startup: Dropbox.lnk = C:\Users\12345\AppData\Roaming\Dropbox\bin\Dropbox.exe

    После нажатия кнопки "Fix Checked". Все строки в программе пропадали, но при нажатии на scan, опять была видна строка
    O23 - Service: @dfsrres.dll,-101 (DFSR) - Корпорация Майкрософт - C:\Windows\system32\DFSR.exe - так и должно быть? Смысл программы удалить или исправить что-то?

    Кстати, те файлы, что AVZ добавил в карантин, они из системы вытащены в определенную папку или остались там же, но их функционал заблокирован? С ними надо что-то делать? Или после лечения можно все скаченное сайта можно удалить без последствий?
     
    Последнее редактирование: 12 окт 2011
  4. oleg

    oleg Expert Вирусоборец

    если вы по поводу следующих файлов см.ниже (которые были помещены в карантин), то можно не беспокоится, они безвредны и остались на прежнем месте, а в карантин просто были скопированы и упакованы.
    это нормально.

    Сообщите, проблема решена ?
     
  5. Здравствуйте, Oleg!
    Пока не знаю. Оставил на проверку Virus Removal Tool - вечером будет ясно.

    Проведите небольшой ликбез, если не трудно:
    После нажатия кнопки "Fix Checked". Все строки в программе пропадали, но при нажатии на scan, опять была видна строка
    O23 - Service: @dfsrres.dll,-101 (DFSR) - Корпорация Майкрософт - C:\Windows\system32\DFSR.exe - так и должно быть? Смысл программы удалить или исправить что-то?
     
  6. oleg

    oleg Expert Вирусоборец

    в данном случае, останавливает соответствующий сервис.
     
  7. Все решено. Огромное Вам спасибо!
     
Статус темы:
Закрыта.

Поделиться этой страницей