Показано с 1 по 15 из 15.

Троянские программы и непонятные вирусы (заявка № 101239)

  1. #1
    Junior Member Репутация
    Регистрация
    31.03.2010
    Сообщений
    13
    Вес репутации
    25

    Exclamation Троянские программы и непонятные вирусы

    Добрый день. Вчера переустановил винду ХР Pro с SP 3 установил новый нод 4 с последними базами произвел проверку и нашел вирусняк. Естественно удалил. но даже после проверки нашел в корне диска файл xdx.exe, fewxdx.exe, в папке recycler файл acleaner.exe, в папке windows ggdrive32.exe, в system32 файлы 25.exe, 53.exe, 55.exe и т.д., и иногда вылетает черное окошко в котором курсор прыгает по нему в разных местах. Я закрываю его, но через несколько секунд снова выплывает оно. Затем нод срабатывает и удаляет эту троянскую программу по его словам. Такое происходит тогда когда я снова подключаюсь к интернету, нод пишет что блокирует соединение, но вирус каким то образом все ровно оказывается в папке Documents and Settings. И может ли быть, что мне по локальной сети кто то кидает вирусы и как мне защитится от этого? Помогите пожалуйста. Прикрепляю логи.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    224
    Здравствуйте.
    Отключите:
    -Все защитные приложения
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    TerminateProcessByName('c:\windows\ghdrive32.exe');
    QuarantineFile('C:\xdx.exe','');
    QuarantineFile('C:\Documents and Settings\Администратор\hddd.exe','');
    QuarantineFile('C:\Documents and Settings\Администратор\bnet.exe','');
    QuarantineFile('C:\WINDOWS\system32\88.exe','');
    QuarantineFile('C:\WINDOWS\system32\57.exe','');
    QuarantineFile('C:\WINDOWS\system32\44.exe','');
    QuarantineFile('C:\WINDOWS\system32\13.exe','');
    QuarantineFile('C:\WINDOWS\system32\03.exe','');
    QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe','');
    QuarantineFile('c:\windows\ghdrive32.exe','');
    DeleteFile('c:\windows\ghdrive32.exe');
    DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
    DeleteFile('C:\WINDOWS\system32\03.exe');
    DeleteFile('C:\WINDOWS\system32\13.exe');
    DeleteFile('C:\WINDOWS\system32\44.exe');
    DeleteFile('C:\WINDOWS\system32\57.exe');
    DeleteFile('C:\WINDOWS\system32\88.exe');
    DeleteFile('C:\Documents and Settings\Администратор\bnet.exe');
    DeleteFile('C:\Documents and Settings\Администратор\hddd.exe');
    DeleteFile('C:\xdx.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Сделайте повторные логи.
    Сделайте лог MBAM.

  4. #3
    Junior Member Репутация
    Регистрация
    31.03.2010
    Сообщений
    13
    Вес репутации
    25
    Прикрепляю свежие логи и лог mbam
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    31.03.2010
    Сообщений
    13
    Вес репутации
    25
    И еще непонятные файлы на диске в папке пользователя: hddd.exe и new1.exe. Удалял их, но они снова появляются. В шапке черного окна написан адрес с названием на конце этого файла hddd.exe они к тому же грузят ЦП на 99%

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    224
    Удалите в MBAM:
    Код:
    Заражённые папки:
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.
    
    Заражённые файлы:
    c:\WINDOWS\system32\80.exe (Worm.Palevo.XGen) -> No action taken.
    c:\WINDOWS\system32\07.exe (Worm.Palevo.XGen) -> No action taken.
    c:\WINDOWS\system32\33.exe (Worm.Palevo.XGen) -> No action taken.
    c:\WINDOWS\system32\45.exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\L9PCDVZ8\m[1].exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\ENDOFQ30\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\ENDOFQ30\m[1].exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\RYNLONQO\new2[1].exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\RYNLONQO\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\ND5A04TL\m[1].exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\ND5A04TL\new2[1].exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\ND5A04TL\m[2].exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\L9PCDVZ8\update[1].php (Trojan.VKHost) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ENDOFQ30\m[1].exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ENDOFQ30\new2[1].exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\RYNLONQO\new2[2].exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ND5A04TL\m[1].exe (Backdoor.Bot) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ND5A04TL\new1[1].exe (Worm.Palevo.XGen) -> No action taken.
    c:\documents and settings\администратор\local settings\temporary internet files\Content.IE5\ND5A04TL\m[2].exe (Backdoor.Bot) -> No action taken.
    e:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe (Backdoor.Bot) -> No action taken.
    c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.
    Сделайте повторный лог MBAM.

  7. #6
    Junior Member Репутация
    Регистрация
    31.03.2010
    Сообщений
    13
    Вес репутации
    25
    вот лог mbam
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    224
    Чисто.
    Что с проблемами?
    Установите Internet Explorer 8.

  9. #8
    Junior Member Репутация
    Регистрация
    31.03.2010
    Сообщений
    13
    Вес репутации
    25
    Снова обнаружил непонятные файлы
    C:\WINDOWS\system32\71.exe - модифицированный Win32/Injector.FXS троянская программа - очищен удалением (после следующего перезапуска)
    Нод удаляет, но они снова появляются там же, только обозначаются другими цифрами тоже двухзначными.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    224
    Сделайте заново логи.

  11. #10
    Junior Member Репутация
    Регистрация
    31.03.2010
    Сообщений
    13
    Вес репутации
    25
    С праздником вас.
    Снова обнаружил множество непонятных exe-шек с двузначными цифрами они грузят систему на 99% периодически запускаются в среднем через 5 - 10 минут, закрываю и удаляю из систем 32,только они как тараканы снова появляются. В логах найдете множество других вирусов. Снова появились hdddx.exe и new1.exe.
    У меня дома к интернету подключены 2 компьютера, соединить по локалке их не получилось. Канал делиться через свич. Может вирус перебрался ко мне с того компьютера? Сделав повторные логи, прикрепляю к сообщению.
    У меня начала часто вылетать одна и та же ошибка:
    Windows - диск отсутствует
    Exception Processing Message c0000013 Parametrs 75b3bf7c 4 75b3bf7c 75b3bf7c. После этого у меня закрываются программы (Мой компьютер, мои документы, avz и т.д.) кроме браузера. За тем запускается hdddx.exe или его разновидность (черное окно с прыгающим курсором, но с другим названием.)
    Вложения Вложения
    Последний раз редактировалось tasohell; 24.04.2011 в 15:11.

  12. #11
    Junior Member Репутация
    Регистрация
    31.03.2010
    Сообщений
    13
    Вес репутации
    25
    Я просмотрелпохожие темыу вас на сайте. У меня такая же проблема как и у парня в теме: Помогите! ghdrive32, hddd, new1 *.exe. Только меня не взламывают. но с такого же адреса как на скрине приходит какая то хрень. Нод блокирует - изолирует. Но всеровно трояны оказываются на винчестере в папках винды, пользователей и так далее.

    Добавлено через 41 минуту

    Ребят, у вас нет идей, что нужно сделать чтоб этих тварей истребить? Ответьте пожалуста?
    Последний раз редактировалось tasohell; 24.04.2011 в 23:28. Причина: Добавлено

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    224
    Отключите:
    -Все защитные приложения
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    TerminateProcessByName('c:\windows\ghdrive32.exe');
    DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
    DeleteFile('C:\WINDOWS\ghdrive32.exe');
    DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe');
    DeleteFile('C:\WINDOWS\system32\08.exe');
    DeleteFile('C:\WINDOWS\system32\33.exe');
    DeleteFile('C:\WINDOWS\system32\41.exe');
    DeleteFile('C:\WINDOWS\system32\46.exe');
    DeleteFile('C:\WINDOWS\system32\63.exe');
    DeleteFile('C:\WINDOWS\system32\78.exe');
    DeleteFile('C:\WINDOWS\system32\84.exe');
    DeleteFile('C:\xdx.exe');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    REgKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Сделайте повторные логи.
    Сделайте лог MBAM.
    Установите все обновления отсюда + IE8.
    Цитата Сообщение от tasohell Посмотреть сообщение
    С праздником вас.
    Вас тоже.

  14. #13
    Junior Member Репутация
    Регистрация
    31.03.2010
    Сообщений
    13
    Вес репутации
    25
    Готово. Только обновление виндовс не сделал еще. Сейчас займусь им. Вот логи. Карантин в папке AVZ не отправляеться. его нет в папке AVZ.В этой же папке есть папка карантин там еще одна с сегоднешней датой но она прост открываеться и там какие то файлы.
    P.S я добавил папку с сегоднешней датой в архив и выслал согласно правилам.
    P.S.S Результат загрузки
    Ошибка загрузки.
    Разрешена загрузка только zip файлов.
    у меня только Winrar.
    Вложения Вложения
    Последний раз редактировалось tasohell; 25.04.2011 в 01:13.

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Цитата Сообщение от tasohell Посмотреть сообщение
    Только обновление виндовс не сделал еще.
    Пока этого не сделать, лечиться бесполезно


    Цитата Сообщение от tasohell Посмотреть сообщение
    Ошибка загрузки.
    Разрешена загрузка только zip файлов.
    у меня только Winrar.
    Он тоже позволяет создавать zip-архивы

    Удалите в МВАМ все найденное
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,538
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\vcleaner.exe - Trojan.Win32.Pincav.bevq ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198213, AVAST4: Win32:Inject-AGC [Trj] )
      2. c:\\windows\\ghdrive32.exe - Net-Worm.Win32.Kolab.zmd ( DrWEB: Trojan.DownLoader2.45522, BitDefender: Trojan.Generic.KD.199982, AVAST4: Win32:Inject-AGC [Trj] )
      3. c:\\windows\\system32\\03.exe - Net-Worm.Win32.Kolab.zka ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198209, AVAST4: Win32:Inject-AGC [Trj] )
      4. c:\\windows\\system32\\13.exe - Net-Worm.Win32.Kolab.zjz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198209, AVAST4: Win32:Inject-AGC [Trj] )
      5. c:\\windows\\system32\\44.exe - Net-Worm.Win32.Kolab.zka ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198209, AVAST4: Win32:Inject-AGC [Trj] )
      6. c:\\windows\\system32\\57.exe - Net-Worm.Win32.Kolab.zjz ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198209, AVAST4: Win32:Inject-AGC [Trj] )
      7. c:\\windows\\system32\\88.exe - Net-Worm.Win32.Kolab.zka ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.KD.198209, AVAST4: Win32:Inject-AGC [Trj] )
      8. c:\\xdx.exe - Trojan.Win32.Pincav.bewl ( DrWEB: Trojan.PWS.Panda.2035, BitDefender: Trojan.Generic.KD.200073, AVAST4: Win32:Inject-AGC [Trj] )


  • Уважаемый(ая) tasohell, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Dr.Web обнаружил троянские программы
      От vd7 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.02.2011, 22:29
    2. Выскакивают постоянно троянские программы
      От СергейТамбов в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 22.09.2010, 16:23
    3. Троянские программы не могу удалить
      От Баяр в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 08.06.2010, 16:33
    4. Троянские программы Agent.NVL и Injector.BO
      От zurfreude в разделе Помогите!
      Ответов: 48
      Последнее сообщение: 08.03.2009, 16:12
    5. Замучали троянские программы
      От Юфик в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 03:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00838 seconds with 22 queries