Показано с 1 по 14 из 14.

Трояны! На каждом локальном диске автораны. (заявка № 10491)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    8
    Вес репутации
    62

    Exclamation Трояны! На каждом локальном диске автораны.

    В общем, создает 2 файла на кадом диске. Прописывает 2 процесса в диспетчере задач. При этом при попытке удалить эти файлы закрывает папку с директорией. В реестре попытка удалить записи о запуске этих процессов ник чему не привела - создает заоново. Не дает включить некоторые антивирусные проги, также сделать видными скрытые файлы.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\9I19.dll','');
     QuarantineFile('C:\WINDOWS\cmdbcs.exe','');
     QuarantineFile('C:\WINDOWS\TIMHost.exe','');
     QuarantineFile('C:\Program Files\Common Files\System\quqnrtl.exe','');
     QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\ehjalrp.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\CelInDriver.sys','');
     QuarantineFile('C:\WINDOWS\system32\TIMHost.dll','');
     QuarantineFile('C:\WINDOWS\system32\RemoteDbg.dll','');
     QuarantineFile('C:\WINDOWS\system32\cmdbcs.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    8
    Вес репутации
    62
    спасибо, закинул!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Поищите с помощью AVZ файл ibvtcgv.exe,
    если найдется - пришлите по правилам и сообщите его полный путь.
    Не попал в карантин C:\WINDOWS\system32\Drivers\CelInDriver.sys,
    его тоже поищите.

    quqnrtl.exe и ehjalrp.exe - Virus.Win32.AutoRun.ao

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\ehjalrp.exe');
     DeleteFile('C:\Program Files\Common Files\System\quqnrtl.exe');
     DeleteFile('D:\autorun.*');
     DeleteFile('E:\autorun.*');
     DeleteFile('F:\autorun.*');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Остальное пока смотрю, не убегайте.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    8
    Вес репутации
    62
    первый файл нашел, он создавался вместе с autorun.inf в кажом корневике кроме диска с:\
    второй файл не нашелся, скрипт щас выполню

  7. #6
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    8
    Вес репутации
    62
    файл закинул соответственно

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все подозрения подтвердились. Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\ehjalrp.exe');
     DeleteFile('C:\Program Files\Common Files\System\quqnrtl.exe');
     DeleteFile('C:\WINDOWS\system32\cmdbcs.dll');
     DeleteFile('C:\WINDOWS\cmdbcs.exe');
     DeleteFile('C:\WINDOWS\system32\RemoteDbg.dll');
     DeleteFile('C:\WINDOWS\system32\TIMHost.dll');
     DeleteFile('C:\WINDOWS\TIMHost.exe');
     DeleteFile('C:\WINDOWS\system32\9I19.dll');
     DeleteFile('D:\autorun.*');
     DeleteFile('E:\autorun.*');
     DeleteFile('F:\autorun.*');
     DeleteFile('D:\ibvtcgv.exe');
     DeleteFile('E:\ibvtcgv.exe');
     DeleteFile('F:\ibvtcgv.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи.

    Скорее всего, возникнут проблемы с открытием дисков через "Мой компьютер",
    тогда почитайте эту статейку.

    И меняйте все свои пароли, вероятно они уже известны не только вам.
    Последний раз редактировалось Bratez; 19.06.2007 в 18:45.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    8
    Вес репутации
    62
    скрипт выполнил, но quqnrtl.exe и ehjalrp.exe создались снова и добавились в автозагрузку от машин ран. + еще куча процессов

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Поправил последний скрипт, попробуйте, должно получиться - всех сразу.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    8
    Вес репутации
    62
    ну вроде эти два исчезли, но не исчезла пробелма с тем, что нельзя сделать видимыми скрытые файлы, открыть нормально диски через мой компьютер. Др веб находит еще
    Trojan.PWS.WSgame
    Trojan.Downloader24130
    Trojan.Downloader23738
    Trojan.PWS.Maran
    BackDoor.Pigeon.1604
    что с ними делать?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сделайте в AVZ: Файл - Восстановление системы - отметить п. 6 и 8 - Выполнить.
    То что находит ДрВеб - естественно удалять.
    Сделайте новые логи, посмотрим, что еще осталось.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    8
    Вес репутации
    62
    что смог удалил, проблема со скрытыми файлами решилась, с окрытием дисков пока нет. логи прикрепил
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    8
    Вес репутации
    62
    ну я поудалял, все оставшиеся автораны со всех дисков и все стало открываться, кроме одного, диска f:, чего понять не могу. так вроде все ок, поиск ничего не дает, в процесса вроде бы лишнего ничего нет.
    еще 2 вопросика:
    1 - почему, когда я заразился этим трояном, снес винду, отформатировав с: и удалив все связанные с ним файлы на других дисках (ibvtcgv и autorun), при установке винды он сразу же появился в процессах диспетчера задач, как так?
    2 - каким антивирусом порекомендуете пользоваться вот от таких атак...
    Заранее спасибо за ответы и вообще СПАСИБО за помощь!

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите службу
    Код:
    O23 - Service: Remote Debug Service (RemoteDbg) - Корпорация Майкрософт - C:\WINDOWS\system32\rundll32.exe
    Видимо она служила для запуска трояна RemoteDbg.dll.
    Можно и удалить ее совсем (из реестра), но файл rundll32.exe не трогайте, он не виноват!

    Вообще, логи чистые, только автораны опять на месте!
    Почитайте статейку по ссылке в сообщении #7 и выполните все тщательно, я думаю должно помочь.
    I am not young enough to know everything...

  • Уважаемый(ая) junky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Нехватка места на локальном диске
      От Lobo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.08.2012, 17:56
    2. Ответов: 10
      Последнее сообщение: 06.02.2012, 00:19
    3. Ответов: 2
      Последнее сообщение: 10.08.2011, 18:37
    4. На локальном диске пропали файлы
      От Ghera в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.07.2011, 12:11
    5. Пропадает память на локальном диске С
      От Екатерина Резвая в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.12.2010, 20:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00243 seconds with 20 queries