• Приветствую тебя уважаемый гость на форуме, посвященный компьютерам! В дружелюбной обстановке у вас будет возможность обсудить различные технические вопросы, касаемых: компьютеров, ноутбуков, программ для ПК. Обратите внимание, компьютерный форум Hard-Help.ru не коммерческий ресурс, то есть наши модераторы ничего не продают и не хвалят разные товары за деньги. Если это ваш первый визит, рекомендуем почитать справку по форуму. Для создания тем и размещения сообщений необходимо зарегистрироваться. После регистрации и успешной авторизации в темах не будет видна реклама от компании Google, а также появятся дополнительные функции. Желаем Вам приятного общения и новых друзей!

Бессмертный вирус Phoneix.exe

Sigmaren

New Member
Регистрация
16 Июл 2013
Сообщения
6
Репутация
0
Баллы
1
Добрый вечер, недавно скачал программу searchsettings и подозреваю что данный троян скачался вместе с ней. Теперь при загрузке все время висит в процессах. Находится в директории C:\WINDOWS\Winshell. Там два файла : phoenix.exe и phoenix.cfg. Ожидаю вашей помощи.
 
Sigmaren ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);
Код:
;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 9252778A1E6AC1CC0BD45B4E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 vk_vir
bl 810BB055FDE9CF800CCEB3197921928F 131072
chklst
delvir
bl 34FA68B58AB2ACD1F61B6AF63AA2E6A2 38400
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
delall %Sys32%\Z2B7RZS.EXE
delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q=
delref HTTP://TOOLBAR.AOL.COM/BROWSERPAGES/NEWTAB-WINAMP-IE-EN-US.HTML
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
exec C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe" /uninstall
exec C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe uninstall
exec C:\Program Files\McAfee Security Scan\uninstall.exe
exec C:\Program Files\MediaGet\unins000.exe
regt 12
regt 14
regt 13
restart
перезагрузка, пишем о старых и новых проблемах.
+
После перезагрузки выполните еще один скрипт в uVS, после выполнении скрипта без перезагрузки в папке uVS автоматический будет создан образ автозапуска, передайте этот образ:
Код:
;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
adddir %SystemRoot%\winshell
crimg
 
Во время выполнения первого скрипта, вроде бы заметил строчку о найденных 2 вредоносных файлах, успешно все удалилось. Предложило удалить media get - удалил. После перезагрузки на автозапуске вылез comodo unite чего раньше не было, а так изменений пока никаких, все равно при загрузке системы запускается phoenix.exe.
 
Sigmaren Сделайте новый образ автозапуска uVS в "Безопасном режиме"
 
Sigmaren
Остановите процесс phoenix.exe и всё его древо через программу Process Explorer и удалите папку C:\WINDOWS\Winshell ибо такой папки быть не должно. С помощью программы AutoRuns вычистите этот phoenix из автозагрузки.
 
Запустился в безопасном режиме, там phoenixa не заметил. Сделал образ автозапуска, все нормально. Далее запустил в обычном режиме и решил на всякий случай сделать образ в нормальном режиме и при запущенном phoenix. Но когда нажал создать образ - мне выдало следующее "Encountered an improper argument". Остановил phoenix.exe через Process explorer, попытался снова и только после остановки процесса, uvs снова начал работу. Зашел в программу Autoruns, и там к сожалению в автозагрузке нету такого процесса phoenix.exe ни даже близко чего-то похоже на него. Далее удалил папку Winshell - все нормально, но как только перезагрузился - она снова появилась..
 
Sigmaren Вы не запустили этот скрипт, запустите ее еще раз:
Код:
;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 9252778A1E6AC1CC0BD45B4E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 vk_vir
bl 810BB055FDE9CF800CCEB3197921928F 131072
chklst
delvir
bl 34FA68B58AB2ACD1F61B6AF63AA2E6A2 38400
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
delall %Sys32%\Z2B7RZS.EXE
delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q=
delref HTTP://TOOLBAR.AOL.COM/BROWSERPAGES/NEWTAB-WINAMP-IE-EN-US.HTML
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
exec C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe" /uninstall
exec C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe uninstall
exec C:\Program Files\McAfee Security Scan\uninstall.exe
exec C:\Program Files\MediaGet\unins000.exe
regt 12
regt 14
regt 13
restart
Компьютер перезагрузится:
далее, выполните быстрое сканирование в Malwarebytes
+
Заархивируйте папку C:\Windows\winshell - залейте на файлообменник - передайте ссылку в ЛС
 
Все выполнил, спутник mail, guard mail и media get теперь удалились. Malwarebytes нашел множество вирусов. Пока их не удалял, оставил отчет открытым.
 
Sigmaren Удалите все в MBAM - Перезагрузите компьютер - Еще раз просканируйте с MBAM
 
Все файлы удалил, перезагрузил, но увы, phoenix.exe все еще запускается.
 
Наконец-то разобрался с этой проблемой. Решилась она походу после скрипта в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{39AA6D29-4236-4F25-A36A-3410EF5283D9}');
DelBHO('{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}');
QuarantineFile('C:\WINDOWS\Winshell\phoenix.exe','');
QuarantineFile('C:\Program Files\Common Files\System\ado\ntsysdriver.exe','');
DeleteFile('C:\Program Files\Common Files\System\ado\ntsysdriver.exe','32');
DeleteFile('\\?\globalroot\systemroot\system32\z2B7RZs.exe','32');
DeleteFile('C:\WINDOWS\Winshell\phoenix.exe');
DeleteFileMask('C:\WINDOWS\Winshell','*',false);
DeleteDirectory('C:\WINDOWS\Winshell');
ClearHostsFile;
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.


Больше спасибо arkalik за помощь!
 
Сверху