Показано с 1 по 20 из 20.

Атака троянов (заявка № 12982)

  1. #1
    Junior Member Репутация
    Регистрация
    28.08.2007
    Сообщений
    33
    Вес репутации
    61

    Thumbs up Атака троянов

    После заражения компютера (начал ругатся Norton AntiVirus, начали запускаться какие-то командные файлы и появился ярлык на рабочем столе), я с помощью DrWeb CureIT (в безопасном режиме) удалил несколько троянов. Перестал ругаться Norton AntiVirus, но все равно что-то очень быстро расходует интернетовский трафик.
    Очень надеюсь на Вашу помощь (протоколы прилагаю)
    Последний раз редактировалось Av64; 14.05.2008 в 14:33.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\bndsrdkq.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Otp52.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\Otp52.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    плюс ещё парочку
    Код:
    begin
     QuarantineFile('C:\WINDOWS\trailer.scr','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     
    end.

  5. #4
    Junior Member Репутация
    Регистрация
    28.08.2007
    Сообщений
    33
    Вес репутации
    61
    Карантин 071007_083204_virus_4708dfd483ca8.zip отправил, часть файлов добавил вручную (меню Добавление в карантин по списку программы AVZ). Ситуация после скрипта не изменилась, интернетовский трафик по прежнему расходывается.
    И еще об одном обстоятельстве забыл написать - при отключении модема через сетевое окружение, винда выходит на синий экран смерти, это же произошло и после выполнения скрипта.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Очистите временные файлы IE.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ISR4VFHX\system[1].exe');
     DeleteFile('C:\WINDOWS\bndsrdkq.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://stat.flashget.com/clientaction/install/flashget/flashget/1.80en/01B13A734E3BDBFB1E3EA8747C6C33A0/0/01B13A734E3BDBFB1E3EA8747C6C33A0
    O2 - BHO: MSVPS System - {3ADCBC16-19FA-4C59-9C22-E17C71B5FD7A} - C:\WINDOWS\bndsrdkq.dll
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Сделайте новые логи.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    28.08.2007
    Сообщений
    33
    Вес репутации
    61
    Временные файлы удалил
    Скрипт выполнил (скрипт 3 выполняется только при отключеной сети, при включеной выходит на экран смерти (STOP: 0x0000007E (....))
    Строчки профиксил
    Высылаю последние логи
    Последний раз редактировалось Av64; 14.05.2008 в 14:33.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Microsoft Help\Microsoft.System.Help.dll','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  9. #8
    Junior Member Репутация
    Регистрация
    28.08.2007
    Сообщений
    33
    Вес репутации
    61
    Карантин отправил 071007_112703_virus_470908d7012c1.zip

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\Program Files\Microsoft Help\Microsoft.System.Help.dll -Trojan.Win32.Bho.es
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Program Files\Microsoft Help\Microsoft.System.Help.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи

  11. #10
    Junior Member Репутация
    Регистрация
    28.08.2007
    Сообщений
    33
    Вес репутации
    61
    Высылаю логи
    Последний раз редактировалось Av64; 14.05.2008 в 14:33.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    DeleteFile('C:\Program Files\Microsoft Help\Microsoft.System.Help.dll');              
    DeleteFile('%LOCAL_SETTINGS%\temp\0.exe');
    DeleteFile('%LOCAL_SETTINGS%\temp\msddx.dll');
    DeleteFile('%LOCAL_SETTINGS%\temp\msqnx.dll');
    DeleteFile('%LOCAL_SETTINGS%\temp\mxstat.exe');
    DeleteFile('%LOCAL_SETTINGS%\temp\nsstat.exe');
    DeleteFile('%LOCAL_SETTINGS%\temp\qnxplugin.dll');
    DeleteFile('%LOCAL_SETTINGS%\temp\rep.exe');
    DeleteFile('%LOCAL_SETTINGS%\temp\videoaccesscodecinstall.exe');
    DeleteFile('%LOCAL_SETTINGS%\temp\vpnsxd.exe');
    DeleteFile('%PROGRAM_FILES%\newmediacodec\newmediacodec.ocx');
    DeleteFile('%PROGRAM_FILES%\videoaccesscodec\videoaccesscodec.ocx');
    DeleteFile('%SYSTEM%\syswin6000.exe');
    DeleteFile('%WINDOWS%\duocore.dll');
    DeleteFile('%WINDOWS%\msddx.dll');
    DeleteFile('%WINDOWS%\msmdev.dll');
    DeleteFile('%WINDOWS%\msmhost.dll');
    DeleteFile('%WINDOWS%\msqnx.dll');
    DeleteFile('%WINDOWS%\mxduo.dll');
    DeleteFile('%WINDOWS%\nsduo.dll');
    DeleteFile('%WINDOWS%\qnxplugin.dll');
    DeleteFile('%WINDOWS%\wmpconf.dll');
    DeleteFile('%WINDOWS%\wmpdev.dll');
    DeleteFile('%WINDOWS%\wmpenv.dll');
    DeleteFile('%WINDOWS%\wmphost.dll');
    DeleteFile('0.exe');
    DeleteFile('c.exe');
    DeleteFile('d_inst.exe');
    DeleteFile('dkb10018912.exe');
    DeleteFile('dmxmsl.exe');
    DeleteFile('dmxpgl.exe');
    DeleteFile('duocore.dll');
    DeleteFile('econf32.exe');
    DeleteFile('install_cb.exe');
    DeleteFile('install_cn.exe');
    DeleteFile('install_cr.exe');
    DeleteFile('main.exe');
    DeleteFile('microsoft.system.help.dll');
    DeleteFile('msdrv.exe');
    DeleteFile('mslogger.exe');
    DeleteFile('msmdev.dll');
    DeleteFile('mxduo.dll');
    DeleteFile('mxstat.exe');
    DeleteFile('newmediacodec.ocx');
    DeleteFile('newmediacodecinstaller (2).exe');
    DeleteFile('newmediacodecinstaller.exe');
    DeleteFile('nsduo.dll');
    DeleteFile('sconf32.dll');
    DeleteFile('setup.exe');
    DeleteFile('system(2).exe');
    DeleteFile('system.dll');
    DeleteFile('system.exe');
    DeleteFile('theclicker.exe');
    DeleteFile('videoaccesscodec.ocx');
    DeleteFile('videoaccesscodecinstall (1).exe');
    DeleteFile('videoaccesscodecinstall (2).exe');
    DeleteFile('vpncore.exe');
    DeleteFile('wmpconf.dll');
    DeleteFile('wmpdev.dll');
    DeleteFile('wmpenv.dll');
    DeleteFile('wmphost.dll');
    DeleteFile('wmplayer.dll');
    DeleteFile('wmsound.dll');
    BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи....
    Последний раз редактировалось V_Bond; 07.10.2007 в 22:35.

  13. #12
    Junior Member Репутация
    Регистрация
    28.08.2007
    Сообщений
    33
    Вес репутации
    61
    При выполнении скрипта AVZ выдает ошибку ')' expected в позиции 57:14

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Подправил скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    DeleteFile('C:\Program Files\Microsoft Help\Microsoft.System.Help.dll');              
    DeleteFile('%LOCAL_SETTINGS%\ temp\ 0.exe');
    DeleteFile('%LOCAL_SETTINGS%\ temp\ msddx.dll');
    DeleteFile('%LOCAL_SETTINGS%\ temp\ msqnx.dll');
    DeleteFile('%LOCAL_SETTINGS%\ temp\ mxstat.exe');
    DeleteFile('%LOCAL_SETTINGS%\ temp\ nsstat.exe');
    DeleteFile('%LOCAL_SETTINGS%\ temp\ qnxplugin.dll');
    DeleteFile('%LOCAL_SETTINGS%\ temp\ rep.exe');
    DeleteFile('%LOCAL_SETTINGS%\ temp\ videoaccesscodecinstall.exe');
    DeleteFile('%LOCAL_SETTINGS%\ temp\ vpnsxd.exe');
    DeleteFile('%PROGRAM_FILES%\ newmediacodec\ newmediacodec.ocx');
    DeleteFile('%PROGRAM_FILES%\ videoaccesscodec\ videoaccesscodec.ocx');
    DeleteFile('%SYSTEM%\ syswin6000.exe');
    DeleteFile('%WINDOWS%\ duocore.dll');
    DeleteFile('%WINDOWS%\ msddx.dll');
    DeleteFile('%WINDOWS%\ msmdev.dll');
    DeleteFile('%WINDOWS%\ msmhost.dll');
    DeleteFile('%WINDOWS%\ msqnx.dll');
    DeleteFile('%WINDOWS%\ mxduo.dll');
    DeleteFile('%WINDOWS%\ nsduo.dll');
    DeleteFile('%WINDOWS%\ qnxplugin.dll');
    DeleteFile('%WINDOWS%\ wmpconf.dll');
    DeleteFile('%WINDOWS%\ wmpdev.dll');
    DeleteFile('%WINDOWS%\ wmpenv.dll');
    DeleteFile('%WINDOWS%\ wmphost.dll');
    DeleteFile('0.exe');
    DeleteFile('c.exe');
    DeleteFile('d_inst.exe');
    DeleteFile('dkb10018912.exe');
    DeleteFile('dmxmsl.exe');
    DeleteFile('dmxpgl.exe');
    DeleteFile('duocore.dll');
    DeleteFile('econf32.exe');
    DeleteFile('install_cb.exe');
    DeleteFile('install_cn.exe');
    DeleteFile('install_cr.exe');
    DeleteFile('main.exe');
    DeleteFile('microsoft.system.help.dll');
    DeleteFile('msdrv.exe');
    DeleteFile('mslogger.exe');
    DeleteFile('msmdev.dll');
    DeleteFile('mxduo.dll');
    DeleteFile('mxstat.exe');
    DeleteFile('newmediacodec.ocx');
    DeleteFile('newmediacodecinstaller (2).exe');
    DeleteFile('newmediacodecinstaller.exe');
    DeleteFile('nsduo.dll');
    DeleteFile('sconf32.dll');
    DeleteFile('setup.exe');
    DeleteFile('system(2).exe');
    DeleteFile('system.dll');
    DeleteFile('system.exe');
    DeleteFile('theclicker.exe');
    DeleteFile('videoaccesscodec.ocx');
    DeleteFile('videoaccesscodecinstall (1).exe');
    DeleteFile('videoaccesscodecinstall (2).exe');
    DeleteFile('vpncore.exe');
    DeleteFile('wmpconf.dll');
    DeleteFile('wmpdev.dll');
    DeleteFile('wmpenv.dll');
    DeleteFile('wmphost.dll');
    DeleteFile('wmplayer.dll');
    DeleteFile('wmsound.dll');
    BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.

  15. #14
    Junior Member Репутация
    Регистрация
    28.08.2007
    Сообщений
    33
    Вес репутации
    61
    Высылаю логи после скрипта
    Трафик что-то продолжает жрать...
    Последний раз редактировалось Av64; 14.05.2008 в 14:33.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Otp52','Start');
     RebootWindows(true); 
    end.
    после перезагрузки еще один....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\Otp52.sys','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('яяяя�к›','');
    DeleteFile('C:\WINDOWS\system32\drivers\Otp52.sys');
    BC_DeleteSvc('Otp52');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи...

  17. #16
    Junior Member Репутация
    Регистрация
    28.08.2007
    Сообщений
    33
    Вес репутации
    61
    Карантин выгрузил 071007_145325_virus_470939359ec6c.zip
    Логи высылаю
    Последний раз редактировалось Av64; 14.05.2008 в 14:33.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Otp52.sys - Rookit.Win32.Agent.js

    выполните скрипт в .Safe mode
    Код:
    begin
    DeleteFile('C:\WINDOWS\system32\drivers\Otp52.sys');
    DeleteFile('Otp52.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    сделайте лог ...
    http://virusinfo.info/showthread.php?t=10387

  19. #18
    Junior Member Репутация
    Регистрация
    28.08.2007
    Сообщений
    33
    Вес репутации
    61
    Скрипт выполнил
    Трафик уже вроде бы никто не жрет
    3-й скрипт в AVZ уже выполнился при включеном сетевом соединении (на экран смерти уже не вышел)
    Высылаю последние логи
    Последний раз редактировалось Av64; 14.05.2008 в 14:33.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    больше не не вижу ничего зловредного ...

  21. #20
    Junior Member Репутация
    Регистрация
    28.08.2007
    Сообщений
    33
    Вес репутации
    61
    Большое спасибо!!!

  • Уважаемый(ая) Av64, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. атака троянов + monoca32.exe
      От belle в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.08.2010, 14:37
    2. Атака троянов
      От antonina-club в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.02.2009, 01:15
    3. Ответов: 26
      Последнее сообщение: 22.02.2009, 09:57
    4. Атака троянов [Trojan.Win32.Antavmu.bfd ]
      От charly_aen в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:43
    5. атака троянов:((((
      От Сашик в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.11.2007, 23:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01050 seconds with 19 queries