-
Junior Member
- Вес репутации
- 59
Trojan Downloader, ограничение в запускаемых приложениях
Добрый вечерй!
Обращаюсь с просьбой о помощи в очередной раз.
В системе различного рода трояны, поедают трафик и ограничивают запуск приложений.
После удаления вирусов авастом, есть негативные последствия. Не запускается cureIt ((( не могу проверить систему этой программой. Так же после перезагрузки компьютера в правом нижнем углу, там где раньше были иконки все отсутствует кроме часов и ICQ, а так же после загрузки и входа в виндоус вылазит сообщение о невозможности виндоуса найти файл lgvn472.exe, который ранее сам появился на рабочем столе и в последствии я его удалил.
Так же в диспетчере задач в процессах присутствует ie_updates3r.exe и две штуки winlogon.
Прошу меня простить, при выполнении пп. 8, 10, 12 не отключил антивирус, не имел возможности, при попытки отключить антивирус нигде не нашел функции отключение, она присутствуют когда есть маленькая иконка в правом нижнем углу.
Заранее благодарен.
Последний раз редактировалось Vedmedya; 06.07.2008 в 14:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите
Код:
F2 - REG:system.ini: Shell=Explorer.exe "C:\Documents and Settings\Админ\Рабочий стол\lgvn472.exe"
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Админ\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Админ\cftmon.exe
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
TerminateProcessByName('c:\documents and settings\Админ\ie_updates3r.exe');
StopService('ioU41');
DeleteService('ioU41');
StopService('Google Online Services');
DeleteService('Google Online Services');
StopService('USB2_04');
DeleteService('USB2_04');
QuarantineFile('C:\Documents and Settings\Админ\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Админ\Рабочий стол\lgvn472.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ioU41.sys','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\Documents and Settings\Админ\ie_updates3r.exe','');
TerminateProcessByName('c:\windows\winlogon.exe');
QuarantineFile('c:\windows\system32\drivers\spools.exe','');
QuarantineFile('c:\documents and settings\Админ\ie_updates3r.exe','');
DeleteFile('c:\documents and settings\Админ\ie_updates3r.exe');
DeleteFile('c:\windows\system32\drivers\spools.exe');
DeleteFile('c:\windows\winlogon.exe');
DeleteFile('C:\Documents and Settings\Админ\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ioU41.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nkv2.sys');
DeleteFile('C:\Documents and Settings\Админ\Рабочий стол\lgvn472.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\Админ\cftmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин закачать, логи повторить.
Последний раз редактировалось Rene-gad; 20.05.2008 в 23:52.
-
-
Junior Member
- Вес репутации
- 59
появилаь проблема (((
exe файлы не запускаются при двойном нажатии открыть вылазит окно с предложениями выбрать программу для открытия файла
-
переименуйте авз в 123.pif
выполните скрипт ...
Код:
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
сделайте новые логи ...
-
-
Сообщение от
Vedmedya
exe файлы не запускаются
Вы скрипты выполнили или не смогли выполнить?
-
-
Junior Member
- Вес репутации
- 59
профиксил перезагрузил
выполнил скрипты - сам перезагрузился
перестали запускаться екзе
переименовал в 123.пиф выполнил скрипт - перезагрузился
сейчас делаю логи
попрежнему не могу отключить антивирус, логи делаю при включенном антивирусе (аваст)
123.пиф назад в авз.екзе нужно переименовывать?
-
Спасибо за информацию.
Сообщение от
Vedmedya
123.пиф назад в авз.екзе нужно переименовывать?
Пока пусть остаётся. Другие экзешники стали запускаться?
-
-
Junior Member
- Вес репутации
- 59
другие пока не проверял))) сразу авз запустил сейчас логи собираю)
в правом нижнем углу значки не появились
-
Сообщение от
Vedmedya
в правом нижнем углу значки не появились
Давайте со зловредами разберёмся, а потом будем значки искать
-
-
Junior Member
- Вес репутации
- 59
да другие экзешники запускаются))) пока всё идет по плану) переживаю, о том, что логи собираю при включенном антивирусе
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Vedmedya; 06.07.2008 в 14:46.
-
пофиксите ....
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
больше ничего зловредного не видно ...
теперь о проблемах подробнее ...
-
-
Junior Member
- Вес репутации
- 59
всё сделал, сейчас запустил cureIt проверяю систему.
В правом нижнем углу возле часов раньше были значки, не помню точно какие, то что аваста был, точно помню) не восстановились
-
ну судя по автозагрузке ... у вас там ничего и не должно быть кроме аськи и часов ...
антивирус стоит просто переустановить ...
-
-
Сообщение от
V_Bond
антивирус стоит просто переустановить ...
Можно попробовать Файл/Мастер поиска и устранения проблем/Система - Все проблемы
@Vedmedya
http://eicar.org/anti_virus_test_file.htm скачайте тестовый файл. Если АВ работает, то хотя бы на eicar.com должен выругаться, если промолчит - надо полностью переустановить, как сказал коллега V_Bond.
Последний раз редактировалось Rene-gad; 21.05.2008 в 00:56.
-
-
Junior Member
- Вес репутации
- 59
cureIt нашел следующий букет вирусов)
Temporary internet files\content.ie5\...\ldr1_276[1].exe - trojan.Sentinel.101;
там жеfound[1].exe - Trojan.Packed.468;
там же assssss[1].exe - BackDoor.fineOn.26;
там же bhos.exe - Trojan.Downloader.61864;
local setting\Temp\severa.exe - Trojan.Packed.460, которые вроде как успешно удалены.
продолжаю проверку ...
-
Сообщение от
Vedmedya
продолжаю проверку ...
Остановите проверку, очистите машину от мусора, потом можете проверять.
-
-
Junior Member
- Вес репутации
- 59
что там выполнять? то что предлагает Майкрософт или качать Clearprog и делать как написано?
Или делать абсолютно всё, что написано на сайте по ссылке?, т.е. сначала то что предлагает майкрософт, а потом, с помощью Clearprog ?
-
делать все как написано в ссылке ...
-
-
Junior Member
- Вес репутации
- 59
Спасибо всё сделал.
После этого проверил cureIT нашел вот, что:
c:\windows\herjek.exe - Trojan.Packed.468'
c:\windows\system32\cbOCR.dll - Trojan.Cacha;
c:\windows\system32\founf.exe.exe - Trojan.Packed.468;
c:\windows\system32\lgvn623.exe - BackDoor.fireOn.26.exe
успешно удалены...
сейчас буду подключать канал интернет)))
Логи не нужны?
Последний раз редактировалось Vedmedya; 21.05.2008 в 02:34.