Показано с 1 по 14 из 14.

worm renocide gen + несколько троянов [Trojan.Win32.Cidox.onj ] (заявка № 127661)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    57
    Вес репутации
    58

    worm renocide gen + несколько троянов [Trojan.Win32.Cidox.onj ]

    антивирус (Microsoft Security Essentials) каждый день пытается их удалить, но безуспешно

    Логи прикрепляю

    Вопрос - данный вирус плодится по локальной сети? Если да, то возможно из-за него падает процесс spoolsv на XP и отваливается система печати.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Lancaster, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
     begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Documents and Settings\Ира\Application Data\3B3FDF.exe','');
     DeleteService('oxgwwaup');
     DeleteService('cveshcgt');
     QuarantineFile('C:\WINDOWS\system32\drivers\ryxpqlgh.sys','');
     DeleteService('ryxpqlgh');
     QuarantineFile('C:\WINDOWS\system32\drivers\cveshcgt.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\oxgwwaup.sys','');
     QuarantineFile('C:\WINDOWS\system32\itqkqbm.dll','');
     DeleteFile('C:\WINDOWS\system32\itqkqbm.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\ryxpqlgh.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\oxgwwaup.sys');
     DeleteFile('C:\Documents and Settings\Ира\Application Data\3B3FDF.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Yandex');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Последний раз редактировалось thyrex; 26.11.2012 в 19:20.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    57
    Вес репутации
    58
    скрипт выполнил, кстати, вы немного ошиблись в синтаксисе в 23 строке
    карантин отправил
    логи новые сделал, прикрепляю

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Lancaster Посмотреть сообщение
    вы немного ошиблись в синтаксисе в 23 строке
    Да,перенос в Word сработал

    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Documents and Settings\Ира\Local Settings\Application Data\Microsoft\Windows\winupdate.exe','');
     QuarantineFile('c:\documents and settings\Ира\application data\opeqmc.exe','');
     QuarantineFile('c:\documents and settings\Ира\local settings\application data\google\update\gupdate.exe','');
     QuarantineFile('c:\documents and settings\Ира\local settings\application data\nvidia corporation\update\daemonupd.exe','');
     DeleteFile('C:\Documents and Settings\Ира\Рабочий стол\GreenChristmasTree_01_0.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Green Christmas Tree');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(13); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    57
    Вес репутации
    58
    прошу прощения за задержку, не было доступа к компьютеру:
    avz скрипт выполнить не может, вываливается с ошибкой в модуле
    в окне программы информация об ошибке антируткита в шаге 16

    UPD:

    скрипт в итоге выполнился, прислал карантин
    логи:
    не знаю насколько объективны логи, потому что Microsoft Security Essentials каждую перезагрузку кидает их в карантин
    скриншот окна карантина антивируса
    http://imageshack.us/photo/my-images/189/123ggz.jpg/
    Последний раз редактировалось Lancaster; 02.12.2012 в 18:39.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    57
    Вес репутации
    58
    Сделал

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ только указанные ниже записи
    Код:
    Объекты реестра обнаружены:  1
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://webwebalta.ru/) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
    
    Обнаруженные файлы:  7
    C:\Documents and Settings\Ира\Application Data\Basiyf\coeb.exe (Exploit.Dropper) -> Действие не было предпринято.
    C:\Documents and Settings\Ира\Local Settings\Temp\5u5r26jz.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Ира\Local Settings\Temp\1t3mfex0.exe (Backdoor.Cidox) -> Действие не было предпринято.
    C:\Documents and Settings\Ира\Local Settings\Temp\a648avf2.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\Ира\Local Settings\Temporary Internet Files\Content.IE5\6ZX3YOVC\230[1].html (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    57
    Вес репутации
    58
    Вышеописанные действия были сделаны, проблема не появлялась, с вчерашнего дня опять началось - в системе остался
    Win32/TrojanDownloader.Carberp - зараза ничем не чистится, почитал про его функционал, понял, что не всё так просто.
    Что еще посоветуете сделать

    - - - Добавлено - - -

    сделал лог combofix

    может он даст какие-то данные о зловреде

    Вобщем, сейчас на компьютере ситуация такая - не работают изображения вконтакте, открывается самопроизвольно сайт odnopoisk.ru, поверх страниц выскакивает рекламный баннер.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С
    Код:
    KillAll::
    
    File::
    
    Driver::
    
    Folder::
    c:\documents and settings\All Users\Application Data\IBank
    c:\documents and settings\All Users\Application Data\PmqyNow5dZs
    c:\documents and settings\Ира\Application Data\Basiyf
    c:\documents and settings\Ира\Application Data\Ewurry
    
    Registry::
    
    DDS::
    uStart Page = hxxp://mailsearchengine.ru
    TCP: Interfaces\{8DDC1C28-83A0-4355-8AD7-00144F1B61B1}: NameServer = 5.199.140.180
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    57
    Вес репутации
    58
    папка с генерируемым именем появляется снова, удалить ее не выходит

    лог Combofix

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог TDSSkiller
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\itqkqbm.dll - Trojan.Win32.Cidox.onj ( DrWEB: Trojan.Mayachok.17994, BitDefender: Gen:Variant.Zusy.28247 )


  • Уважаемый(ая) Lancaster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Червь и несколько троянов
      От folder в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 20.05.2010, 22:28
    2. Несколько троянов появляются снова
      От DrPilulkin в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 17.11.2009, 18:03
    3. Антивирус нашел несколько троянов
      От katykova в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.07.2009, 22:05
    4. Несколько троянов
      От mem в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.02.2009, 20:41
    5. Похоже на несколько троянов:(
      От Serzh79 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.04.2008, 13:30

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01492 seconds with 19 queries