Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Из временной папки после каждой перезагрузки лезут трояны (заявка № 49439)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58

    Thumbs up Из временной папки после каждой перезагрузки лезут трояны

    Симптомы следующие. После перезагрузки системы и первого доступа в сеть через Оперу появляется сообщение сканера от DrWeb о том, что обнаружен некий троян-даунлоадер во временной папке (у меня это d:\temp). В папке при этом возникает файл с расширением .tmp, файл с таким же именем, но с двойным расширением .tmp.exe и еще некий e.exe. При удалении файла с помощью DrWeb одновременно пропадает и e.exe. После этого, что любопытно, Опера напрочь отказывается работать (при этом Эксплорер работает!). При вставлении флешки в компьютер на ней появляются autorun.inf и autorun.exe, причем autorun.exe не определяется как вирус ни DrWeb'ом, ни онлайн-сканером от Касперского.
    Сканирование с помощью CureIt! в защищенном режиме выявило некую завирусованную dll в одной из системных папок. После ее удаления изменилось только то, что Опера перестала отказываться работать. Всё остальное осталось.
    К сожалению, записи о точной дислокации и наименовании отловленных (и отлавливаемых) вирусов остались у меня на работе, а пишу я из дома. Если критично, могу уточнить завтра (во вторник) утром.
    Полный Windows Update сделал.
    Логи прилагаются.
    Заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('=.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('=.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
    DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58
    Скрипт выполнил. Сообщения о вирусах, перехватываемых DrWeb'ом, стали более разнообразными (фигурировали Win32.HLLW.Autoruner.6317, Trojan.PWSBanker.29027, Trojan.Download.38404, Trojan.PWS.LDPinch.4308 ).
    Карантин приаттачил. Собираюсь сделать логи.
    А можно ли что-нибудь сделать, чтобы скрипт лечения/карантина и сбора информации игнорировал заданные папки на c: ? или хотя бы включать на это время интернет или какие-нибудь задачи? Проверка MSDN занимает несколько часов, я не могу на работе столько времени без сети... если только на ночь оставлять.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Проверка MSDN занимает несколько часов
    Угу, сталкивался с этим,когда касперским сканировал компьютер знакомой программистки

    Выполните пункты 2, 3 диагностики.

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58
    Уже решил проблему радикальнее - деинсталлировал MSDN.
    Прикладываю новые логи.
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи (пункты 2, 3 диагностики)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58
    Сделано.

    Кстати, при выполнении скриптов происходила ошибка приложения Gsvr.exe. А при перезагрузке обычно вылетает AcroRd32.exe, вроде бы это началось одновременно с (видимым) появлением вирусов.
    Вложения Вложения

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи полиморфным AVZ с включенным AVZPM
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58
    Я не понял, надо ли было с участием полиморфного AVZ делать п.1 диагностики. На всякий пожарный сделал.

    P.S. А может, ну его? в морг? или рано еще сдаваться?
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58
    Морально подготовился к переустановке системы. Имеет ли смысл подождать?

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте http://www.gmer.net/gmer.zip
    С его помощью удалите C:\Program Files\Microsoft Common\svchost.exe

    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделать новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58
    Лед тронулся!
    Для указанного файла сделал "Kill", а не "Delete" (правильно?), затем, по указанию gmer'а, перезагрузился (может, и не надо было). После перезагрузки не запустился explorer, рабочий стол был пустой. Запустил скрипт через диспетчер процессов, перезагрузился, и что же, теперь после соединения с сетью вирусы из временной папки не вылезают, флешка не заражается.
    Сам файл svchost.exe физически остался на месте. Он не определяется как вирус ни DrWeb'ом, ни Касперским. Если интересен, могу его выслать.
    Жду дальнейших указаний.
    Вложения Вложения

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Гондурас Посмотреть сообщение
    Сам файл svchost.exe физически остался на месте.
    Жду дальнейших указаний.
    Если он в папке system32, то высылать не надо
    Сейчас explorer стартует нормально?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58
    Да, explorer стартует нормально (скрипт что-то такое написал, с ним связанное, отключение атрибута "debugger" или что-то в этом роде).
    Есть нормальный svchost.exe в папке system32 (14336 байт, 14.04.08 ), а есть и вирусный, насколько я понимаю, но уже не загружаемый системой, - в Microsoft Common. Размер - 36352 байта. Дата и время соответствуют последней "вирусной" загрузке. Антивирусы на него не реагируют. Как я сказал, в gmer'е я выбрал только "Kill", а не "Delete", наверно, из-за этого и не удалился. Выслать?
    Последний раз редактировалось Гондурас; 08.07.2009 в 18:23.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Зараженный можешь прислать через карантин AVZ.
    Загружать через http://virusinfo.info/upload_virus.php?tid=49439
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58
    Закачал. Что скажете?

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    На вирустотале его 3 из 40 знают.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58
    О, я о таком ресурсе и не знал.
    Так что теперь? Можно считать себя излечившимся?
    Или стоит еще разок собрать все логи?

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    В последних логах он уже не засветился
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    13.08.2008
    Сообщений
    24
    Вес репутации
    58
    Спасибо за помощь!
    И всё же интересно, почему на вирус не отреагировали самые известные антивирусы?

  • Уважаемый(ая) Гондурас, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирус лезет после каждой перезагрузки
      От XuLLlHuK в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.04.2010, 14:23
    2. Ответов: 14
      Последнее сообщение: 03.11.2009, 13:14
    3. Ответов: 14
      Последнее сообщение: 20.10.2009, 01:07
    4. Новые трояны из временной папки
      От Гондурас в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 16.07.2009, 15:37
    5. Появляются после каждой перезагрузки
      От Vagabond в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 03:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00131 seconds with 20 queries