Показано с 1 по 10 из 10.

последствия Win32.Sector.12 или атака троянов (заявка № 33380)

  1. #1
    Junior Member Репутация
    Регистрация
    06.11.2008
    Сообщений
    4
    Вес репутации
    57

    последствия Win32.Sector.12 или атака троянов

    Недавно словила Win32.Sector.12
    Довольно много времени ушло на то, чтоб его вычистить из системы (хр сп2 2002года). Стоял аваст хоум, чистила с помощью CureIt и AVZ.
    Казалось бы все - но нет. Не запускаются msc файлы(mmc.exe пропал)и проблема c cftmon.exe. Полбеды , что половина программ слетело из-за зараженности exe, так еще и теперь периодически вылавливаются трояны - например, сегодня заметила csrcs.exe.

    Сейчас на компьютере стоит Dr.Web, но запуск того же csrcs.exe он не заметил, все чистила руками с помощью bat и реестра (хорошо, что стоит Process Manager!).

    Вопрос: откуда появляются эти трояны просто пачками, я уже не успеваю их отлавливать, хотя провела полную проверку системы в сейф мод и стоит хороший антивирус(лицензия)?! может ли получиться так, что Win32.Sector.12 пробил где-то защиту или он восстанавливает себя? Как уберечься от троянов? Может к Др.Вебу установить еще файервол?

    П.С. Снести систему пока не могу. Очень надо сделать работоспособной эту.
    ----------------------------------------------------------------------
    Добавляю логи по правилам.

    1.cftmon.exe не загружается, при перезагрузке всегда вылазит сообщение об ошибке.
    2.Троян csrcs.exe прописался у меня. Тк он свою копию где-то сохраняет.
    3. После чистки Win32.Sector.12 его тело руками из реестра убрала (ветка имя_пользователя914). Очень интересный вирус...
    Вложения Вложения
    Последний раз редактировалось MsKroshka; 09.11.2008 в 19:57. Причина: добавляю вложение syscheck

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Обратитесь по правилам: http://virusinfo.info/showthread.php?t=1235
    Последний раз редактировалось AndreyKa; 07.11.2008 в 09:43.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от MsKroshka
    Вопрос: откуда появляются эти трояны
    Из Интеренета.
    Цитата Сообщение от MsKroshka
    Очень надо сделать работоспособной эту.
    Для начала ставьте SP3 на Windows и далее по Правилам (ссылка выше).

  5. #4
    Junior Member Репутация
    Регистрация
    06.11.2008
    Сообщений
    4
    Вес репутации
    57
    up

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('c:\intersystems\cache\bin\cservice.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nqrlkn.sys','');
     DeleteService('abp470n5');
     QuarantineFile('C:\DOCUME~1\Natusya\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('c:\windows\system32\csrcs.exe','');
     DeleteFile('c:\windows\system32\csrcs.exe');
     ExecuteRepair(16);
     DeleteFile('C:\DOCUME~1\Natusya\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\nqrlkn.sys');
     DeleteFile('msansspc.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

  7. #6
    Junior Member Репутация
    Регистрация
    06.11.2008
    Сообщений
    4
    Вес репутации
    57
    Обновила вложения.
    Скажите, а ошибку с ctfmon.exe как можно исправить, чтоб раскладка клавиатуры работала без PuntoSwitcher?

    и еще, любопытно, а что это за службы и подозрительные файлы?
    C:\DOCUME~1\Natusya\LOCALS~1\Temp\winlogon.exe
    C:\WINDOWS\system32\drivers\nqrlkn.sys
    msansspc.dll

    Добавлено через 13 минут

    И вообще, в эти папки TEMP и Cookie много всего нехорошего загружается. как настроить периодическое очищение этих папок?
    Последний раз редактировалось MsKroshka; 09.11.2008 в 20:18. Причина: пишу не по-русски)

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пофиксить

    Код:
    F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Natusya\LOCALS~1\Temp\winlogon.exe
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('msansspc.dll','');
     DeleteService('abp470n5');
     TerminateProcessByName('c:\windows\system32\csrcs.exe');
     DeleteFile('c:\windows\system32\csrcs.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\nqrlkn.sys');
     DeleteFile('C:\DOCUME~1\Natusya\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('msansspc.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('abp470n5');    
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    MsKroshka, не заменяйте старые логи новыми. Каждый раз добавляйте их в новом сообщении.
    Выполняйте рекомендации любого хелпера, который вам пишет, чтобы не терять время.
    Отправил недетектируемый троян с вашего компьютера в лабораторию антивируса Dr.Web.

  10. #9
    Junior Member Репутация
    Регистрация
    06.11.2008
    Сообщений
    4
    Вес репутации
    57
    To Гриша: пофиксить уже нечего, эти ключи удалены скриптом из пред. сообщения...Спасибо за помощь!!!

    To AndreyKa: плохо я, наверное, выразилась. я заменила только один лог syscheck.zip -просмотров этого файла было 0, хотя, наверное, он бы мог пригодится для сравнения состояния...

    Как Вы считаете, стоит ли установить еще файервол (бесплатный ZoneAlarm, Kerio или Sygate) к имеющемуся на компе Dr.Web?

    П.С. Хотела установить на комп новые темы с сайта themexp.org . Но теперь я очень осторожно ко всяким исполняемым файлам отношусь и решила их проверить на virustotal. В итоге из всех антивирусов два считают эти файлы подозрительными (с троянами) постоянно: Sunbelt (который скупил Kerio) и F-Secure! а Касперский и Др.Веб считают безопасными! то есть файлы оказались опасными на 5%. Для проверки я еще установочный файл пунто свитчер туда загрузила (может они и его вирусом сочтут)) ). Он оказался полностью безопасным. Вывод: темы устанавливать перехотелось)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от MsKroshka Посмотреть сообщение
    Как Вы считаете, стоит ли установить еще файервол
    Если очень хотите файрвол - активируйте Винодовс Файрвол. Он не грузит систему и от атак снаружи защишает не хуже любого другого.

  • Уважаемый(ая) MsKroshka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Последствия Win32.Sector.12
      От JaneYa в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.07.2012, 11:05
    2. Ошибка 0x7B при загрузке. Последствия Win32.Sector.16
      От ber-viking в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.02.2012, 19:04
    3. Последствия вируса Win32.Sector.5 ?
      От Yo Frankie! в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 23.01.2010, 21:22
    4. Вирус Win32.Sector и его последствия
      От BLooDeX в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.04.2009, 14:42
    5. Атака троянов [Trojan.Win32.Antavmu.bfd ]
      От charly_aen в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01195 seconds with 20 queries