Показано с 1 по 14 из 14.

Троян, загрузка цп (заявка № 108709)

  1. #1
    Junior Member Репутация
    Регистрация
    12.09.2011
    Сообщений
    15
    Вес репутации
    46

    Thumbs up Троян, загрузка цп

    Здравствуйте!

    На компьютер был пойман банер-блокиратор рабочего стола, перед этим антивирус Microsoft Security Essentials выдал предупреждение о наличии вируса-трояна и очистил его.
    После перезагрузки в безопасном режиме и проверки компьютера сначала антивирусом Microsoft Security Essentials, а потом DrWeb Cureit, было обнаружено несколько троянских программ, которые были очищены.
    После перезагрузки в обычном режиме, было обнаружено, что процесс svhost стал потреблять 100% процессора.

    Спасибо!
    Вложения Вложения
    Последний раз редактировалось миднайт; 15.09.2011 в 18:06. Причина: карантин!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) Energoprom, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\system32.exe','');
     DeleteFile('C:\WINDOWS\system32\Drivers\system32.exe');
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    12.09.2011
    Сообщений
    15
    Вес репутации
    46
    Карантин отправил, скрипты выполнил.

    Кроме этого неожиданно отвалился антивирус Microsoft и теперь при входе в систему выдает ошибку. Удалить при помощи установка и удаление программ не получилось, при этом он продолжает висеть в исполняемых задачах.
    Попробую его вычистить окончательно и заменить на Нод32.

    Спасибо.
    Вложения Вложения
    Последний раз редактировалось миднайт; 15.09.2011 в 18:06. Причина: карантин в открытом доступе!

  7. #5
    Junior Member Репутация
    Регистрация
    12.09.2011
    Сообщений
    15
    Вес репутации
    46
    При загрузке системы бывший антивирус выдает ошибку, а установка нового антивируса невозможна так же из-за двух ошибок.
    Прилагаю скриншоты ошибок.
    Изображения Изображения
    • Тип файла: jpg 1.jpg (75.7 Кб, 12 просмотров)
    • Тип файла: jpg 2.jpg (51.3 Кб, 7 просмотров)

  8. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Сделайте лог MBAM

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    12.09.2011
    Сообщений
    15
    Вес репутации
    46
    Лог добавлен.
    Вложения Вложения

  11. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    
    Зараженные папки:
    c:\documents and settings\Admin\application data\archsoft (Trojan.Agent) -> No action taken.
    
    Зараженные файлы:
    c:\documents and settings\admin\главное меню\программы\автозагрузка\igfxtray.exe (Trojan.Agent) -> No action taken.
    c:\system volume information\_restore{8491898d-d87a-42e3-80fb-067371926e77}\RP230\A0051383.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\rubashka.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\bander.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\dir.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\dot.gif (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\htmlayout.dll (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\logo.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\logo2.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\sb-scroll-back.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\sb-scroll-base.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\scroll.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\wfont.ttf (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\_todel.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\_todel2.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\_todel3.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\_todel4.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\_todel5.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\_todel6.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\_todel7.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Admin\application data\archsoft\_todel8.png (Trojan.Agent) -> No action taken.
    - Сделайте повторный лог MBAM

  12. Это понравилось:


  13. #9
    Junior Member Репутация
    Регистрация
    12.09.2011
    Сообщений
    15
    Вес репутации
    46
    Ошибка при входе в систему, скриншот которой я приложил, осталась.
    Лог прилагаю.
    Вложения Вложения

  14. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    virusinfo_SYScure.zip‎ лог приложите.
    Paula rhei.
    Поддержать проект можно тут

  15. Это понравилось:


  16. #11
    Junior Member Репутация
    Регистрация
    12.09.2011
    Сообщений
    15
    Вес репутации
    46
    Прилагаю лог
    Вложения Вложения

  17. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Ничего вредоносного в логе нет.
    Paula rhei.
    Поддержать проект можно тут

  18. #13
    Junior Member Репутация
    Регистрация
    12.09.2011
    Сообщений
    15
    Вес репутации
    46
    Спасибо

  19. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\system32.exe - Trojan-Ransom.Win32.PornoBlocker.acdl ( DrWEB: Trojan.Winlock.3206, BitDefender: Trojan.Generic.6660047, NOD32: Win32/Delf.QAI trojan, AVAST4: Win32:Delf-QSA [Trj] )


  • Уважаемый(ая) Energoprom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Win32.Ddox.ci и троян "троян маячок"
      От eugenmax в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.08.2011, 14:06
    2. Загрузка ЦП - 100%!!!
      От infipash в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 20.06.2011, 15:01
    3. 100 % загрузка ЦП.
      От kot25 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.11.2009, 12:02
    4. Ответов: 6
      Последнее сообщение: 28.02.2009, 16:27
    5. 90 - 100% загрузка ЦП
      От Skorii в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 17.07.2008, 18:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01649 seconds with 20 queries