Win32/Tofsee.AX

@annabios · Регистрация: 05.04.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте! У меня на компьютере антивирус NOD 32 выдал при сканировании интересную угрозу.
Оперативная память = C:\WINDOWS\system32\svchost.exe - модифицированный Win32/Tofsee.AX троянская программа - очистка невозможна.

@Sandor · 19.11.2013, 14:45

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\Kroft\qvuxnpah.exe','');
 DeleteFile('C:\Users\Kroft\qvuxnpah.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите лог AVZ (ст. скрипт №2)

@annabios · 19.11.2013, 16:31 **[ТС]**

сделал, quarantine.zip отправил

@Sandor · 19.11.2013, 16:36

Что с проблемой?

Добавлено через 40 секунд
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

@annabios · 19.11.2013, 17:14 **[ТС]**

MBAM, НОД 32 не ругается на вирус и нет соединение прервано, по проблеме вроде чисто

@Sandor · 19.11.2013, 17:21

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:

Обнаруженные ключи в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|TNOD UP (Trojan.Agent.CK) -> Параметры: "C:\Program Files\TNod User & Password Finder\TNODUP.exe" /i -> Действие не было предпринято.
Обнаруженные файлы:
C:\Program Files\TNod User & Password Finder\TNODUP.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Program Files\TNod User & Password Finder\uninst-tnod.exe (Trojan.Agent.CK) -> Действие не было предпринято.
C:\Users\Kroft\Downloads\TNod-1.4.2.1-final-setup.rar (Trojan.Agent.CK) -> Действие не было предпринято.
D:\d\install\Nero-7.8.5.0\Nero.Burning.ROM.7.x.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\downloads\TNod User & Password Finder 1.4.1 Final\TNod_User_Password_Finder_1.4.1_Final.exe (Trojan.MSIL) -> Действие не было предпринято.

Лог после удаления покажите.

Проверьте эти файлы на virustotal

Код

C:\Users\Kroft\cttev.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

@annabios · 19.11.2013, 18:49 **[ТС]**

Сообщение от Sandor

Проверьте эти файлы на virustotal
Код Code
1
C:\Users\Kroft\cttev.exe

нет такого файла в обзоре чтобы указать, MBAM после чистки прикладываю

@Sandor · 19.11.2013, 18:52

Порядок!

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	19.11.2013, 14:45	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Kroft\qvuxnpah.exe',''); DeleteFile('C:\Users\Kroft\qvuxnpah.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите лог AVZ (ст. скрипт №2) 1

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	19.11.2013, 16:36	4
	Что с проблемой? Добавлено через 40 секунд + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 1

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	19.11.2013, 17:21	6
	Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме: Обнаруженные ключи в реестре: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.Обнаруженные параметры в реестре: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\|TNOD UP (Trojan.Agent.CK) -> Параметры: "C:\Program Files\TNod User & Password Finder\TNODUP.exe" /i -> Действие не было предпринято. Обнаруженные файлы: C:\Program Files\TNod User & Password Finder\TNODUP.exe (Trojan.Agent.CK) -> Действие не было предпринято. C:\Program Files\TNod User & Password Finder\uninst-tnod.exe (Trojan.Agent.CK) -> Действие не было предпринято. C:\Users\Kroft\Downloads\TNod-1.4.2.1-final-setup.rar (Trojan.Agent.CK) -> Действие не было предпринято. D:\d\install\Nero-7.8.5.0\Nero.Burning.ROM.7.x.exe (RiskWare.Tool.HCK) -> Действие не было предпринято. D:\downloads\TNod User & Password Finder 1.4.1 Final\TNod_User_Password_Finder_1.4.1_Final.exe (Trojan.MSIL) -> Действие не было предпринято. Лог после удаления покажите. Проверьте эти файлы на virustotal Код C:\Users\Kroft\cttev.exe кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	19.11.2013, 18:52	8
	Порядок! Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после удаления вредоносного ПО 1