Trojan.Click1.17448

[tishtish]

Со вчерашнего дня как только подключил PSP в USB-разъём сразу же вышла окно MS-DOS, теперь каждый раз при включении ноутбука, вылазеет окошко MS-DOS с ошибкой:

"16 bit MS-DOS Subsystem" Далее в ней написано:

"C:\Windows\CIDD_P\D0F3F1~1\13.exe (бывает и ...\14.exe и ...\15.exe)

The NTVDM CPU has encountered an illegal instruction.

CS:055e IP:0245 OP:63 6f 6e 74 65 Choose 'Close' to terminate the application."

Проверился, CureIt нашел:

"c:\windows\cidd_p\lsass.exe" - "Trojan.Click1.17448"

"c:\windows\configuration\configuration.exe" - "Trojan.Click1.17448"

OTL.Txt

Extras.Txt

mbam-log-2011-07-31 (17-38-56).txt

OTL.Txt

Extras.Txt

mbam-log-2011-07-31 (17-38-56).txt

[edde]

Удалите то что нашел мбам, логи по правилам раздела повторите, лог RSIT не забудьте. Trojan-Clicker.Win32.AutoIt у вас очевидно. Кто надоумил делать лог otl?

[tishtish]

Повторил.

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Tiare]

tishtish, добрый день.

- обновите Internet Explorer до актуальной версии (даже, если им не пользуетесь)

- обновите Adobe Reader до актуальной версии

Запустите AVZ и обновите базы ("Файл" => "Обновление баз"), после этого сделайте логи AVZ.

Запустите Malwarebytes' Anti-Malware, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[tishtish]

Tiare, добрый. Сделал как вы просили.

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam-log-2011-08-02 (01-02-14).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam-log-2011-08-02 (01-02-14).txt

[Tiare]

Удалите в MBAM следующие файлы

- Запустите MBAM

- выберите Perform Full Scan (Провести полную проверку)

- нажмите Scan (Проверить)

- после сканирования выберите Ок и далее Show Results (Показать результаты)

- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).

После удаления откройте лог и прикрепите его к вашему сообщению.

Зараженные папки:c:\Windows\CIDD_P (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed (Worm.AutoIt) -> No action taken.Зараженные файлы:c:\Users\Руслан\AppData\Local\Opera\Opera\cache\g_004C\opr07L0S.tmp (Trojan.Agent) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\1.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\10.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\11.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\12.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\13.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\14.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\15.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\16.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\2.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\3.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\4.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\5.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\6.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\7.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\8.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\9.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\br.dll (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\clm.dll (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\nam.dll (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\nfie.dll (Worm.AutoIt) -> No action taken.

Проблемы остались?

[tishtish]

Tiare, спасибо большое :) Проблемы решились).

Изменено 2 августа, 2011 пользователем tishtish

[Tiare]

Tiare, спасибо большое :) Проблемы решились).

Очень рада! Только логи для контроля повторите, чтобы убедиться, что мы все удалили. После этого дам заключительные рекомендации)

Повторите логи AVZ и RSIT, отчеты прикрепите к следующему сообщению.

+ отчет МБАМ.

Изменено 2 августа, 2011 пользователем Tiare

[Tiare]

tishtish, папку C:\Windows\configuration со всем ее содержимым удалите вручную.

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Создайте новую контрольную точку восстановления и очистите заражённую.

>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Если что-то из этого не нужно, желательно отключить.

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите Enter. Для подтверждения перезаписи нажмите Y.

Деинсталлируйте OTL:

Запустите OTL и нажмите на кнопку CleanUp.

Перезагрузитесь.

Malwarebytes' Anti-Malware хорошая программа, но она не заменяет антивирус, поэтому ее лучше использовать как средство проверки системы, а не защиты от заражения. Обязательно установите антивирус, после это удалите МБАМ (эта программа несовместима с большинством антивирусных программ).

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

Если Вы хотите избежать нового заражения, то желательно:

- не работать за компьютером с правами администратора;

- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность

- регулярно устанавливать обновления windows и обновлять антивирусные базы;

-установить антивирусную программу, желательно с файерволом и проактивной защитой;

- можно периодически проверять систему антивирусными утилитами CureIT и AVPTool.

- отключить не используемые службы Windows.

Также прочитайте про автозапуск на устройствах, какую опасность он несет и как с ним бороться

Ваш зловред по другой классификации - Trojan-PSW.Generic [PC Tools], поэтому рекомендую сменить все важные пароли.