Показано с 1 по 15 из 15.

WinAVXX скорее всего, излечиться неудается (заявка № 12742)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    9
    Вес репутации
    61

    Thumbs up WinAVXX скорее всего, излечиться неудается

    Висел в трее значком, от туда прибился. Но сообщения Windows Security Alert Warning! Potential Spyware Operation... выскакивают с завидным постоянством. Календарь, панель управления блокированы, regedit есть.
    Логи сделал по правилам выкладываю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Честно говоря многовато накопили добра.

    Выполнить скрипт:
    Код:
    begin
    Clearhostsfile;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\system32\systems.txt','');
     QuarantineFile('C:\WINNT\system32\ntos.exe','');
     QuarantineFile('c:\winnt\system32\printer.exe','');
     QuarantineFile('autorun.exe','');
     QuarantineFile('system.exe','');
     QuarantineFile('C:\WINNT\system32\WinAvXX.exe','');
     BC_DeleteFile('C:\WINNT\system32\ntos.exe');
     DeleteFile('C:\WINNT\system32\ntos.exe');
     DeleteFile('C:\WINNT\system32\systems.txt');
     BC_DeleteSvc('kpoof');
     BC_DeleteSvc('poof');
     BC_DeleteFile('C:\WINNT\system32\systems.txt');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить ВЕСЬ карантин через ссылку вверху темы.

    Почистить:C:\Documents and Settings\Администратор\Local Settings\Temp\

    Сменить ВСЕ пароли, т.к. был Пинч.

    Сделать новые логи.

    В дополнение к скрипту: провериться Cure-It полностью, желательно сначала в защищенном режиме, а потом в обычном.
    Последний раз редактировалось PavelA; 25.09.2007 в 18:14.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    9
    Вес репутации
    61
    Скрипт исполнил.
    Карантин выслсал.
    Темп почистил.
    Новые логи добавляю.
    Cure-it пока не проверял.
    Гадость пока присутствует - выкидывает сообщение раз в 5 минут.
    Вложения Вложения
    Последний раз редактировалось Shu_b; 25.09.2007 в 21:58. Причина: HiJackThis.ехе нам не нужен

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    из попавших в карантин ....
    c:\winnt\system32\printer.exe Trojan.Win32.Qhost.oj
    C:\WINNT\system32\systems.txt not-virus;Hoax.Win32.Renos.jh
    C:\WINNT\system32\WinAvXX.exe Trojan.Win32.Qhost.oj
    C:\WINNT\system32\ntos.exe Trojan.Agent.AFGS
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
     DeleteFile('c:\winnt\system32\printer.exe');
     DeleteFile('C:\WINNT\system32\WinAvXX.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\winlogon.exe');
     BC_ImportAll;
     BC_Activate;
     ClearHostsFile;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  6. #5
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    9
    Вес репутации
    61
    Скрипт выполнил!
    Карантин прислал по правилам.
    Сообщение снова лезет!!!
    Спасибо что помогаете, а то совсем запарило оно!

    Добавлено через 8 минут

    А логи снова высылать?
    Просто WinAvXX.exe снова сидит в System32!
    Последний раз редактировалось Toutlemond; 26.09.2007 в 18:52. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    system.exe - троян Trojan.Virantix по Симантеку
    Вот описание: http://safe.cnews.ru/bugtrack/entry/...7/07/31/102765
    второй тоже.

    Будем убивать.
    Код:
    begin
    Clearhostsfile;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe');
    DeleteFile('C:\WINNT\system32\WinAvXX.exe');
    BC_ImportAll;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки через AVZ - Восст. системы - отметить п.п.2,3,4 нажать Выполнить.
    Сделать новые логи.
    Последний раз редактировалось PavelA; 26.09.2007 в 19:07.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    9
    Вес репутации
    61
    Ок! Сделал как надо, вот логи !
    Описание почитал - все совпадает!
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINNT\system32\WinAvXX.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe','');
     QuarantineFile('c:\winnt\system32\printer.exe','');
     DeleteFile('c:\winnt\system32\printer.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\system.exe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\WINNT\system32\WinAvXX.exe');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи...

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    А почему "Восст. системы" включено? Страшно отключать или прятно долго лечится.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    9
    Вес репутации
    61
    а разве в W2K восстановление?
    А и еще невозможно попасть в панель управления - как ее включить через реестр? При выборе свойства в "Мой компьютер" оно не пускает то же, типа прав нет :-)

  12. #11
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    9
    Вес репутации
    61
    скрипт выполнил, Карантин отослал а вот и логи!
    И кстати панель управления я включил обратно.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах больше ничего подозрительного.

    Выполните скрипт:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(13);
    ExecuteRepair(17);
    end.
    И вот это посмотрите:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
    >> разрешена потенциально опасная служба TlntSvr (Telnet)
    >> разрешена потенциально опасная служба TlntSvr (Telnet)
    >> разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> разрешена потенциально опасная служба Alerter (Оповещатель)
    >> разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    >> Безопасность: разрешен автоматический вход в систему
    Что используете - скажите, остальное поправим.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    9
    Вес репутации
    61
    И ведь действительно!
    Сообщение больше не вылезает!
    Спасибо огромное, парни! Без вас бы форматнул все к чертям
    Хорошо что есть люди готовые помочь в трудную минуту!
    А из перечисленого скорее всего почти ничего и не надо разве что
    >> Безопасность: разрешен автоматический вход в систему

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    тогда такой скрипт...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 46
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - Trojan.Win32.Qhost.oj (DrWEB: Trojan.Fakealert.305)
      2. c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\system.exe - Trojan.Win32.Qhost.oj (DrWEB: Trojan.Fakealert.305)
      3. c:\\winnt\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.adj (DrWEB: Trojan.Packed.180)
      4. c:\\winnt\\system32\\printer.exe - Trojan.Win32.Qhost.oj (DrWEB: Trojan.Fakealert.305)
      5. c:\\winnt\\system32\\systems.txt - Hoax.Win32.Renos.jh (DrWEB: Trojan.Fakealert.305)
      6. c:\\winnt\\system32\\winavxx.exe - Trojan.Win32.Qhost.oj (DrWEB: Trojan.Fakealert.305)


  • Уважаемый(ая) Toutlemond, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Скорее всего Winlock
      От zloi в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.05.2012, 17:56
    2. Скорее всего странный вирус
      От surferz в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.08.2011, 12:42
    3. скорее всего вирусы
      От ninamarshal в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.04.2011, 22:24
    4. скорее всего это вирус
      От misspony в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.10.2010, 17:15
    5. Скорее всего екав
      От juasker в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.01.2010, 16:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01536 seconds with 20 queries