Показано с 1 по 17 из 17.

Неизвестный (уже известный) троян. (заявка № 13618)

  1. #1
    Junior Member Репутация
    Регистрация
    28.10.2007
    Сообщений
    6
    Вес репутации
    60

    Exclamation Неизвестный (уже известный) троян.

    По мотивам темы с - http://forum.drweb.com/viewtopic.php?t=6432

    Обратился на форум DrWeb с просьбой помочь вылечить новый Trojan, его добавили в базу и теперь зараженные файлы лечаться (удаляются), но почему-то лечиться не до конца, после перезагрузки троян вновь висит в памяти и делает свое черное дело.

    Мне посоветовали обратиться на ваш форум.

    У кого есть опыт в исследованиях таких троянов, подскажите, откуда он запускается при перезагрузках, чтобы я его отрубил?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Сделайте логи по правилам...

  4. #3
    Junior Member Репутация
    Регистрация
    28.10.2007
    Сообщений
    6
    Вес репутации
    60
    Я сделал сканирование системы, но я не могу загрузить один файл, выдается ошибка:

    ----
    virusinfo_cure.zip:
    Ваш файл занимает 1.53 Мбайт байт, что превышает предел на форуме в 488.3 Кбайт для этого типа файла.
    -----


    Если есть возможность, скачайте его с моего сайта - http://www.rfvvfr.com/virusinfo_cure.zip
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    cure - это карантин, его заливайте по ссылке вверху темы

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    В virusinfo_cure.zip нет ничего вредного.
    Нужен virusinfo_syscure.zip из подпапки AVZ\LOG.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\regiclen.exe','');
     QuarantineFile('C:\WINDOWS\system32:dwwin32.exe','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Давайте пока так: файл virusinfo_cure.zip загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13618 , как написал rubin. Далее, в папке LOG программы AVZ должен быть файл virusinfo_syscure.zip - его надо прикрепить к теме. Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\regiclen.exe','');
     QuarantineFile('C:\WINDOWS\system32:dwwin32.exe','');
    BC_Deletesvc('PowerManager');
    BC_Importall;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13618 , как написано в прил.3 правил

  9. #8
    Junior Member Репутация
    Регистрация
    28.10.2007
    Сообщений
    6
    Вес репутации
    60
    Цитата Сообщение от Numb Посмотреть сообщение
    Давайте пока так: файл virusinfo_cure.zip загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13618 , как написал rubin. Далее, в папке LOG программы AVZ должен быть файл virusinfo_syscure.zip - его надо прикрепить к теме. Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\regiclen.exe','');
     QuarantineFile('C:\WINDOWS\system32:dwwin32.exe','');
    BC_Deletesvc('PowerManager');
    BC_Importall;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=13618 , как написано в прил.3 правил

    Попытался выполнить данный скрипт, перезагрузил компьютер, вырубил Outpost, убил троян из памяти (Process Killer)

    Получил ошибку - "Failed to set data for "Displayname""

    Скриншот самой программы прилагаю.
    Изображения Изображения
    • Тип файла: jpg 1.jpg (109.8 Кб, 21 просмотров)

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    О чем вообще речь? Goggy2, вы считаете что C:\Program Files\ProcessKiller\prkiller.exe это троян? Удаляете, а он восстанавливается?
    Может, уже пора службу восстановления системы отключить?

  11. #10
    Junior Member Репутация
    Регистрация
    28.10.2007
    Сообщений
    6
    Вес репутации
    60
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    О чем вообще речь? Goggy2, вы считаете что C:\Program Files\ProcessKiller\prkiller.exe это троян? Удаляете, а он восстанавливается?
    Может, уже пора службу восстановления системы отключить?
    Нет, этой программой я удаляю троян из памяти каждый раз после перезагрузки системы.

    Начало истории описано тут - http://forum.drweb.com/viewtopic.php?t=6432

    При первом запуске зараженного файла троян стал выходить в интернет как процесс IEXPLORER.EXE , после второго запуска, стал выходить также как Opera (оба процесса в памяти висели).

    Больше я этот зараженный файл не запускал.

    Далее, когда троян добавили в базу DrWeb, я проверил все диски и DrWeb нашел один файл и удалил его, теперь в памяти висит только один процесс IEXPLORER.

    То есть DrWeb не полностью вылечил систему и кроме того не отрубил автозагрузку трояна.

    Вот мне и нужно узнать, откуда он грузиться, чтобы самому отрубить его.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    надо профиксить вот это:
    Код:
    O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll
    После этого возможно придется переустановить Outpost.

    Далее надо попробовать удалить сервис Security Registry
    Пуск - Выполнить - cmd - sc delete "Security Registry"
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    28.10.2007
    Сообщений
    6
    Вес репутации
    60
    Цитата Сообщение от PavelA Посмотреть сообщение
    надо профиксить вот это:
    Код:
    O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll
    После этого возможно придется переустановить Outpost.

    Далее надо попробовать удалить сервис Security Registry
    Пуск - Выполнить - cmd - sc delete "Security Registry"

    Похоже это и был троян, служба запускается из c:\windows\regiclen.exe

    Я его удалил из папки и перезагрузился, троян уже не висел в памяти.

    Но я не могу удалить саму службу теперь. Команда cmd - sc delete "Security Registry" не работает, просто вылазит окошко командной строки.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    лог hijackthis сделайте ....

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от Goggy2 Посмотреть сообщение
    Но я не могу удалить саму службу теперь. Команда cmd - sc delete "Security Registry" не работает, просто вылазит окошко командной строки.
    Правильно. Запускаете командную строку и уже в ней набираете sc delete и так далее.

  16. #15
    Junior Member Репутация
    Регистрация
    28.10.2007
    Сообщений
    6
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    лог hijackthis сделайте ....
    Я же высылал его уже, во втором своем посту приаттаченный.

    2all:

    Остается пара непоняток, эта служба, которую я удалил, была в выключенно состоянии, без автозапуска, тогда Троян, либо его часть ее каким-то образом запускал, но откуда?

    PavelA
    надо профиксить вот это:
    O20 - AppInit_DLLs: firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll firewall\wl_hook.dll
    Как это сделать?

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    что значит пофиксить
    фиксите ...
    затем делаете лог hijackthis

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Goggy2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 01.12.2009, 21:23
    2. Неизвестный троян/вирус
      От timecode в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.07.2009, 00:04
    3. Неизвестный троян
      От Ericc в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.06.2009, 23:53
    4. Ответов: 16
      Последнее сообщение: 22.02.2009, 05:09
    5. Неизвестный троян
      От Fedor Kilev в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 31.05.2008, 16:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00301 seconds with 20 queries