Trojan.Click1.17448

**tishtish** · 31 июля, 2011

Со вчерашнего дня как только подключил PSP в USB-разъём сразу же вышла окно MS-DOS, теперь каждый раз при включении ноутбука, вылазеет окошко MS-DOS с ошибкой:

"16 bit MS-DOS Subsystem" Далее в ней написано:

"C:\Windows\CIDD_P\D0F3F1~1\13.exe (бывает и ...\14.exe и ...\15.exe)

The NTVDM CPU has encountered an illegal instruction.

CS:055e IP:0245 OP:63 6f 6e 74 65 Choose 'Close' to terminate the application."

Проверился, CureIt нашел:

"c:\windows\cidd_p\lsass.exe" - "Trojan.Click1.17448"

"c:\windows\configuration\configuration.exe" - "Trojan.Click1.17448"

OTL.Txt

Extras.Txt

mbam-log-2011-07-31 (17-38-56).txt

OTL.Txt

Extras.Txt

mbam-log-2011-07-31 (17-38-56).txt

**edde** · 31 июля, 2011

Удалите то что нашел мбам, логи по правилам раздела повторите, лог RSIT не забудьте. Trojan-Clicker.Win32.AutoIt у вас очевидно. Кто надоумил делать лог otl?

**tishtish** · 1 августа, 2011

Повторил.

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

**Tiare** · 1 августа, 2011

tishtish, добрый день.

- обновите Internet Explorer до актуальной версии (даже, если им не пользуетесь)

- обновите Adobe Reader до актуальной версии

Запустите AVZ и обновите базы ("Файл" => "Обновление баз"), после этого сделайте логи AVZ.

Запустите Malwarebytes' Anti-Malware, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

**tishtish** · 1 августа, 2011

Tiare, добрый. Сделал как вы просили.

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam-log-2011-08-02 (01-02-14).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam-log-2011-08-02 (01-02-14).txt

**Tiare** · 1 августа, 2011

Удалите в MBAM следующие файлы

- Запустите MBAM

- выберите Perform Full Scan (Провести полную проверку)

- нажмите Scan (Проверить)

- после сканирования выберите Ок и далее Show Results (Показать результаты)

- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).

После удаления откройте лог и прикрепите его к вашему сообщению.

Зараженные папки:c:\Windows\CIDD_P (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed (Worm.AutoIt) -> No action taken.Зараженные файлы:c:\Users\Руслан\AppData\Local\Opera\Opera\cache\g_004C\opr07L0S.tmp (Trojan.Agent) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\1.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\10.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\11.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\12.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\13.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\14.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\15.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\16.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\2.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\3.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\4.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\5.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\6.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\7.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\8.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\9.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\br.dll (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\clm.dll (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\nam.dll (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\d0f3f1ebe0ed\nfie.dll (Worm.AutoIt) -> No action taken.

Проблемы остались?

**tishtish** · 2 августа, 2011

Tiare, спасибо большое :) Проблемы решились).

Изменено 2 августа, 2011 пользователем tishtish

**Tiare** · 2 августа, 2011

Tiare, спасибо большое :) Проблемы решились).

Очень рада! Только логи для контроля повторите, чтобы убедиться, что мы все удалили. После этого дам заключительные рекомендации)

Повторите логи AVZ и RSIT, отчеты прикрепите к следующему сообщению.

+ отчет МБАМ.

Изменено 2 августа, 2011 пользователем Tiare

**Tiare** · 5 августа, 2011

tishtish, папку C:\Windows\configuration со всем ее содержимым удалите вручную.

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Создайте новую контрольную точку восстановления и очистите заражённую.

>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Если что-то из этого не нужно, желательно отключить.

>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите Enter. Для подтверждения перезаписи нажмите Y.

Деинсталлируйте OTL:

Запустите OTL и нажмите на кнопку CleanUp.

Перезагрузитесь.

Malwarebytes' Anti-Malware хорошая программа, но она не заменяет антивирус, поэтому ее лучше использовать как средство проверки системы, а не защиты от заражения. Обязательно установите антивирус, после это удалите МБАМ (эта программа несовместима с большинством антивирусных программ).

Пуск--Панель управления--Установка и удаление программ
Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

Если Вы хотите избежать нового заражения, то желательно:

- не работать за компьютером с правами администратора;

- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность

- регулярно устанавливать обновления windows и обновлять антивирусные базы;

-установить антивирусную программу, желательно с файерволом и проактивной защитой;

- можно периодически проверять систему антивирусными утилитами CureIT и AVPTool.

- отключить не используемые службы Windows.

Также прочитайте про автозапуск на устройствах, какую опасность он несет и как с ним бороться

Ваш зловред по другой классификации - Trojan-PSW.Generic [PC Tools], поэтому рекомендую сменить все важные пароли.

Войти

Trojan.Click1.17448

Рекомендуемые сообщения

tishtish

Ссылка на комментарий

Поделиться на другие сайты

edde

Ссылка на комментарий

Поделиться на другие сайты

tishtish

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

tishtish

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

tishtish

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность