Показано с 1 по 10 из 10.

Троян, создает папки с названиями типа 9vO3wAguztbnvhW (заявка № 117582)

  1. #1
    Junior Member Репутация
    Регистрация
    06.03.2012
    Сообщений
    4
    Вес репутации
    45

    Thumbs up Троян, создает папки с названиями типа 9vO3wAguztbnvhW

    Доброго всем времени суток.
    На данный момент проблема: Троян (похоже) грузит очень сильно систему процессом svchost. Процесс легко убивается, так же легко снова потом появляется. Появляется папка на системном диске 9vO3wAguztbnvhW (и подобные), а также в F:\Documents and Settings\Администратор\Application Data\
    По последнему адресу после стирания папка исчезла, на локальном диске продолжает появляться.

    Предыстория всего такова:

    Вечером перестали открываться файлы .pdf, не придал особого значения, разбираться было некогда, через несколько часов девушка закачала какое то виде, хотела посмотреть - с её слов минутный ролик, но загрузился моментально (это она заметила))). После открытия файла комп ребутнулся, и меня уже ждал черный экран, предлагающий отправить на МТС 500 рублей. Перезагружаю, и пониманю что эта дрянь запускается еще до загрузки XPшки (SP3). Возможности посооветоваться не было, поэтому действовал интуитивно:
    1. Загрузил систему через загрузочный диск.
    2. Все работало но очень медленно.
    3. Загруженный файл ИСЧЕЗ.
    4. При открывании локального диска F (где и стоит система) НЕ было видно вообще ни одной папки... при этом если прописать путь F:\Documents and Settings то дальше всё виделось..
    5. Запустил CureIT, он содержимое локального диска увидел, сразу увидел папаку с абракадаброй. Просканировал - нашел 2 трояна, одного убил, одного - нет. Папку я смог стереть только unlockerом.
    6. При перезагрузке - все ок. winlogon исчез. Дальше началось вышеописанное.

    Да ещё момент. В настройках не могу выставить "Показывать скрытые папки и файлы" - тут же запускается какой-то процесс, и возвращает все обратно. Это давно, CureIt молчит...

    Буду признателен за помощь.
    hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Leonard, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Здравствуйте.

    Выполните скрипт в AVZ (как выполнить):
    Код:
    var StartupFolder:string;
    begin
    StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile(StartupFolder + '\SwB7uj9uH0U.exe','');
     DeleteFile(StartupFolder + '\SwB7uj9uH0U.exe');
    ExecuteWizard('TSW',2,2,true);
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    06.03.2012
    Сообщений
    4
    Вес репутации
    45
    Карантин отправил.
    Новые логи прилагаю.
    Вложения Вложения

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #6
    Junior Member Репутация
    Регистрация
    06.03.2012
    Сообщений
    4
    Вес репутации
    45
    отчет RSIT
    Вложения Вложения
    • Тип файла: txt info.txt (16.9 Кб, 1 просмотров)
    • Тип файла: txt log.txt (34.1 Кб, 2 просмотров)

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
     DeleteFileMask('F:\Documents and Settings\Администратор\Application Data\9vO3wAguztbnvhW','*.*', true);
     DeleteDirectory('F:\Documents and Settings\Администратор\Application Data\9vO3wAguztbnvhW');
     DeleteFileMask('F:\9vO3wAguztbnvhW','*.*', true);
     DeleteDirectory('F:\9vO3wAguztbnvhW');
    end.
    Смените все пароли.

    Что с проблемой?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #8
    Junior Member Репутация
    Регистрация
    06.03.2012
    Сообщений
    4
    Вес репутации
    45
    Спасибо за помощь!
    На данный момент проблема исчезла. С отображением скрытых папок всё в норме.
    А не подскажите, "кто" стал причиной всех проблем?

  11. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Вирус из семейства Carberp
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. f:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\swb7uj9uh0u.exe - Backdoor.Win32.Gbot.ucr ( DrWEB: Trojan.Carberp.208, BitDefender: Trojan.Downloader.Carberp.AD, NOD32: Win32/TrojanDownloader.Carberp.AJ trojan, AVAST4: Win32:Crypt-LQX [Trj] )


  • Уважаемый(ая) Leonard, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 24.03.2012, 08:43
    2. Ответов: 7
      Последнее сообщение: 12.12.2010, 17:22
    3. Ответов: 45
      Последнее сообщение: 15.10.2009, 20:48
    4. Ответов: 1
      Последнее сообщение: 27.02.2009, 10:27
    5. Ответов: 1
      Последнее сообщение: 27.02.2009, 07:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00102 seconds with 20 queries