Показано с 1 по 18 из 18.

Помогите ТРОЯН (заявка № 11650)

  1. #1
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    43
    Вес репутации
    35

    Exclamation Помогите ТРОЯН

    У меня завелся какой-та наглый троян всё время что-то просит скачать и вылезает табличка: Trojan Adwere.W32.ExpDwnldr spywere detected и тд.
    помогите pelase
    Последний раз редактировалось Kostik_yo; 18.11.2007 в 13:01.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Winkcio.exe','');
     QuarantineFile('C:\WINDOWS\netsup.dll','');
     QuarantineFile('C:\WINDOWS\vsmart.dll','');
     QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
     QuarantineFile('c:\program files\internet explorer\iexplorekdo.exe','');
     QuarantineFile('C:\WINDOWS\extctrl.dll','');
     QuarantineFile('C:\WINDOWS\iesup.dll','');
     QuarantineFile('c:\windows\system32\winkgql.exe','');
     DeleteFile('c:\windows\system32\winkgql.exe');
     DeleteFile('C:\WINDOWS\iesup.dll');
     DeleteFile('C:\WINDOWS\system32\Winkcio.exe');
     DeleteFile('C:\WINDOWS\extctrl.dll');
     DeleteFile('C:\WINDOWS\vsmart.dll');
     DeleteFile('C:\WINDOWS\netsup.dll');
     BC_QrSvc('Winkcio');
     BC_DeleteSvc('Winkcio');
     BC_DeleteSvc('Winkgql');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11650

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

  4. #3
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    43
    Вес репутации
    35
    Файл сохранён как 070814_144855_virus_46c188ae55343.zip
    Размер файла 298200
    MD5 7a054392f41168af452a941e21f28890
    Скинул карантин

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    C:\WINDOWS\netsup.dll
    C:\WINDOWS\extctrl.dll
    C:\WINDOWS\iesup.dll
    C:\WINDOWS\vsmart.dll

    Всё это - not-a-virus:AdWare.Win32.Agent.bn
    их мы удалили.
    Другие вкусности не попали в каратин,повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    43
    Вес репутации
    35
    Новые логи
    Последний раз редактировалось Kostik_yo; 18.11.2007 в 13:01.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Отключите восстановление системы,как сказано в правилах!

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_QrFile('C:\WINDOWS\system32\Winkvx.exe');
     BC_QrFile('c:\windows\system32\winkqfq.exe');
     BC_DeleteFile('c:\windows\system32\winkqfq.exe');
     BC_DeleteFile('C:\WINDOWS\system32\Winkvx.exe');
     BC_QrSvc('Winkvx');
     BC_DeleteSvc('Winkvx');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11650

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
    O2 - BHO: (no name) - {23649336-4FC4-411C-84EE-6A2B51CE5E23} - (no file)
    O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
    Unknown
    O22 - SharedTaskScheduler: App reset - {A25849C4-93F3-429D-FF34-260A2068897C} - (no file)
    O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
    повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    43
    Вес репутации
    35
    Вот логи
    Карантин отправил
    Файл сохранён как 070815_072805_virus_46c272dc0e563.zip
    Размер файла 670261
    MD5 57e55fb1c6c0438b3aaec403549d99f7
    Последний раз редактировалось Kostik_yo; 29.06.2008 в 14:39.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Надо еще кое-что проверить. Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\SetupNT.sys','');
     QuarantineFile('C:\WINDOWS\ZSSnp211.exe','');
     QuarantineFile('C:\WINDOWS\system32\odbc.exe','');
     QuarantineFile('C:\WINDOWS\Domino.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    43
    Вес репутации
    35
    Скрипт выполнил карантин отправил и на всякий случай логи, вируса уже не видно!!!
    Последний раз редактировалось Kostik_yo; 29.06.2008 в 14:39.

  11. #10
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    43
    Вес репутации
    35
    Карантин:

    Файл сохранён как 070816_060507_virus_46c3b0ea1665d.zip
    Размер файла 936655
    MD5 2c54be69036218163116aa372c630016

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    C:\WINDOWS\system32\odbc.exe - Trojan.Win32.Agent.ye
    остальные должны быть чистые,после ответа ЛК узнаем 100%
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\windows\system32\odbc.exe');
     BC_QrFile('C:\WINDOWS\system32\Winkgwl.exe');
     BC_DeleteFile('c:\windows\system32\odbc.exe');
     BC_DeleteFile('C:\WINDOWS\system32\Winkgwl.exe');
     BC_DeleteSvc('ODBC service');
     BC_DeleteSvc('Winkgwl');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Если файл Winkgwl.exe попадёт в карантин то пришлите его согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11650
    повторите логи.

  13. #12
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    43
    Вес репутации
    35
    скритп выполнил. Winkgwl.exe попал к карантин. Прислать не смог пишет: Результат загрузки
    Unknown error. File not uploaded
    логи прислал
    Последний раз редактировалось Kostik_yo; 29.06.2008 в 14:39.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Оставшиеся файлы с прошлого карантина чистые,последний карантин попробуйте отправить снова,если не получиться то поместите на файловый обменик(например http://zalil.ru) и ссылку скажите мне.
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\Winkxj.exe');
     BC_DeleteFile('C:\WINDOWS\system32\Winkxj.exe');
     BC_DeleteSvc('Winkxj');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Повторите логи.

  15. #14
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    43
    Вес репутации
    35
    После выполнения скрипта и проверки фаил Winkgwl.exe исчез из карантина
    Вот логи
    Последний раз редактировалось Kostik_yo; 29.06.2008 в 14:39.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    пришлите последний карантин,пока не работает форма загрузки воспользуйтесь файловым обмеником http://zalil.ru
    очистите папку C:\WINDOWS\Temp\

    http://www.viruslist.com/ru/viruses/...?virusid=22466
    в конце по ссылке есть рекомендация по лечению,выполните её и потом повторите логи.
    PS.вы базы касперского обновляли?

  17. #16
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    43
    Вес репутации
    35
    Выполнил всё, что написано.
    Карантин: http://file.uz/files/0ceaed13ed77b59...4143/virus.zip
    вот логи
    Последний раз редактировалось Kostik_yo; 29.06.2008 в 14:39.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Kostik_yo Посмотреть сообщение
    Карантин file.uz
    это же не zalil.ru и ссылка Ваша ошибку выдает 403 forbidden.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Все эти постоянно сменяющие друг друга wink*.exe - давно известный почтовый червь I-Worm.Klez.h, об этом и в логе AVZ написано. Удалите WinAntivirus Pro 2007, это не антивирус, а профанация. Установите нормальный антивирус, обновите ему базы и сделайте полную проверку в безопасном режиме.
    I am not young enough to know everything...

  • Уважаемый(ая) Kostik_yo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. ПОМОГИТЕ ИЗБАВИТЬСЯ ОТ ТРОЯН-МОЯЧЕК1
      От Zhenya8282 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.11.2011, 16:11
    2. ТРОЯН
      От nikitaddd в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.08.2011, 17:44
    3. ПОМОГИТЕ НЕЙЗВЕСТНЫЙ ТРОЯН
      От Leoo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.01.2010, 20:16
    4. ТроЯн!!! Помогите!!!!
      От Любава в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2009, 03:04
    5. Помогите ТРОЯН!
      От Nik-260 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.11.2007, 23:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00660 seconds with 21 queries