Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Помогите!! троян :( (заявка № 12366)

  1. #1
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    34

    Thumbs up Помогите!! троян :(

    Приветствую. Прошу о помощи. Прочитал о похожих проблемах, но у меня немного по другому. Стало постоянно выскакивать окно с текстом:
    Warning! Potential Spyware Operation!
    Your computer is making unauthorized copies of your system and internet files. Click YES to dounload spyware remover....
    Если кликаешь YES - идет по несуществующей ссылке.
    Еще пропала панель управления и не открывался календарь.
    Сканировал nod32 - ничего, dr. Web нашел 8 объектов, зараженных трояном, один не может вылечить. Это system.txt Несколько раз пробовал - не может его вылечить. Все проблемы "ушли". Но после перезагрузки теперь не может найти printer.exe в папке system32 (он тоже был заражен). Воспользовался avz и hi jack
    По правилам прилагаю файлы. Помогите разобраться, плиз.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
    04 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    выполните скрипт....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\printer.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
     QuarantineFile('C:\WINDOWS\system32\systems.txt','');
     DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
     DeleteFile(C:\WINDOWS\system32\printer.exe');     
     //Вызов скрипта восстановления системы
     ExecuteRepair(16);
     ExecuteRepair(9);
     ClearHostsFile;
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    Последний раз редактировалось Зайцев Олег; 11.09.2007 в 22:45.

  4. #3
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    34
    Спасибо огромное за быстрый ответ, мистер Bond !

    сейчас поробую Ваше лекарство

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Stasus Посмотреть сообщение
    сейчас поробую Ваше лекарство
    Обратите внимание - выполнять нужно текущий вариант скрипта, я его немного модифицировал.

  6. #5
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    34
    Всем огромное спасибо! Карантин отправил, все ок

    ВЫРУЧИЛИ!!!

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    :\WINDOWS\system32\systems.txt not-virus:Hoax.Win32.Renos.jh
    выполните скрипт....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\printer.exe');
     DeleteFile('C:\WINDOWS\system32\systems.txt');       
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи....

  8. #7
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    34
    сделал, отправил)

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    логи нужно прикреплять ,а не отправлять....

  10. #9
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    34
    вот.. я подозревал т.е. сделать те же, что и в начале самом? avz и
    hijack?

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    да точно так три лога... только новых.....

  12. #11
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    34
    )
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ....
    Код:
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\systems.txt');
     DelWinlogonNotifyByFileName('C:\WINDOWS\system32\systems.txt');
     ExecuteRepair(17);
     ClearHostsFile;     
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи....
    Последний раз редактировалось V_Bond; 12.09.2007 в 00:55.

  14. #13
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    34
    Простите, с первым кодом что нужно сделать?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497

  16. #15
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    34
    да, спасибо)
    Вложения Вложения

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Все чисто. Только вот эту строчку еще пофиксите:
    Код:
    O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing)
    И посмотрите, что вам нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    (остальное поправим).
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    34
    Пофиксил.
    Из служб и безопасностей ничего необычного не нужно. Это обычный домашний ПК. Я даже затрудняюсь 100% ответить

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Stasus, на домашнем я без всего этого живу и нормально, максимум потом можно исправить.
    Код:
    begin
    SetServiceStart('RemoteRegistry', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('RDSessMgr', 4);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RebootWindows(true);
    end.

  20. #19
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    34
    скрипт выполнен, спасибо. ПК: Я здоров?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Цитата Сообщение от Stasus Посмотреть сообщение
    скрипт выполнен, спасибо. ПК: Я здоров?
    Здоровых людей нет, есть недобследованные Судя по логам, комп чист. Чтобы уменьшить шанс заражения, на будущее : 1) Работать за компьютером с правами ограниченного пользователя. 2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....) 3) Прочитать электронную книгу"Безопасный Интернет-Универсальная защита для Windows ME - Vista";: http://security-advisory.newmail.ru Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519 Мы будем Вам очень благодарны!

  • Уважаемый(ая) Stasus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. помогите!троян!!
      От tenoy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.09.2010, 22:15
    2. Помогите. троян
      От JaguarRiP в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.11.2009, 21:33
    3. Троян.Помогите.
      От mironus в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 06:54
    4. Помогите троян
      От Константин31. в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 02.10.2008, 21:05
    5. Помогите! Троян!
      От paine в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.01.2008, 01:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00831 seconds with 23 queries