Показано с 1 по 14 из 14.

Trojan + backdoor (run32.dll, System.exe, HBService32, ...) (заявка № 33566)

  1. #1
    Junior Member Репутация
    Регистрация
    08.03.2007
    Сообщений
    62
    Вес репутации
    36

    Thumbs up Trojan + backdoor (run32.dll, System.exe, HBService32, ...)

    Здравствуйте
    Недавно обнаружил, что мой компьютер заражён вирусом (заметил подозрительные файлы в корне каждого диска). Я вручную удалил все подозрительные файлы и очистил реестр (пользовался руководством), после чего Windows вообще перестал загружаться и пришлось выполнить переустановку (+дефрагментация диска С).
    Затем я провел 1 день в поиске драйвера для видео карты (она встроена в материнской плате PM9MS) и вирус вновь проявил себя (4 процессы с именем run32.dll).
    Новый вирус сильно отличается от старого, хотя оба мешали запустить avz даже с другим именем (оказалось, что вирус перехватывал действия мыши и клавиатуры).
    В данный момент я ищу драйвера и любого работоспособного антивируса. Жду от вас ответа. Спасибо заранее!
    Последний раз редактировалось ika; 11.11.2008 в 02:44.

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('HBKernel32', 4);
     SetServiceStart('d7b49fa', 4);
     SetServiceStart('c39e8db', 4);
     QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
     QuarantineFile('C:\DOCUME~1\Irakli\LOCALS~1\Temp\s3chipid.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\HBKernel32.sys','');
     QuarantineFile('C:\WINDOWS\system32\d7b49fa.sys','');
     QuarantineFile('C:\WINDOWS\system32\c39e8db.sys','');
     QuarantineFile('dwshd.sys','');
     QuarantineFile('C:\Program Files\Mozilla Firefox\xul.dll','');
     QuarantineFile('C:\DOCUME~1\Irakli\LOCALS~1\Temp\wmsetup.dll','');
     QuarantineFile('c:\program files\counterpath\x-lite\x-lite.exe','');
     QuarantineFile('c:\windows\svchost.exe','');
     DeleteFile('C:\DOCUME~1\Irakli\LOCALS~1\Temp\wmsetup.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\dwshd.sys');
     DeleteFile('dwshd.sys');
     DeleteFile('C:\WINDOWS\system32\c39e8db.sys');
     DeleteFile('C:\WINDOWS\system32\d7b49fa.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\HBKernel32.sys');
     DeleteFile('c:\windows\svchost.exe');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteService('c39e8db');
     DeleteService('HBKernel32');
     DeleteService('d7b49fa');
     BC_ImportALL;
     ClearHostsFile;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил


    Повторите логи.
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    08.03.2007
    Сообщений
    62
    Вес репутации
    36
    1. Получили ли virus.zip?
    2. Нужно ли переустановить Windows?
    3. Нужно ли переустановить зараженные программы?
    4. Explorer не работает. что делать?
    5. Нечего, что во время выполнения скриптов, в верхней панели avz было отмечено только C диск?
    Последний раз редактировалось ika; 12.02.2009 в 20:42.

  5. #4
    Junior Member Репутация
    Регистрация
    08.03.2007
    Сообщений
    62
    Вес репутации
    36
    Только-что очередной раз удалил из процессов run32.dll

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    1. Да.
    2. Это вам решать.
    3. Какие программы и чем зараженные?
    4. Для начала попробуйте установить Service Pack 3 на Windows.
    5. Это нормально.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    Begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
     ExecuteRepair(8);
     ExecuteRepair(16);
     ExecuteRepair(13);
     BC_DeleteSvc('PowerManager');
     BC_DeleteSvc('c39e8db');
     BC_DeleteSvc('d7b49fa');
     BC_DeleteSvc('HBKernel32');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\Documents and Settings\Irakli\DoctorWeb\Quarantine\svchost0.exe');
     DeleteFile('C:\Documents and Settings\Irakli\DoctorWeb\Quarantine\svchost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

    Установите Adobe Acrobat 9 или удалите старый.

  8. #7
    Junior Member Репутация
    Регистрация
    08.03.2007
    Сообщений
    62
    Вес репутации
    36
    Скрипт выполнен. Acrobat 6 удален.
    Последний раз редактировалось ika; 12.02.2009 в 20:42.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от AndreyKa
    Какие программы и чем зараженные?
    Отвечаю на свой вопрос сам.
    Win32.HLLP.Jeefo.36352

    Ika, вы поставьте какой-нибудь антивирус. А то это никогда не прекратиться.

  10. #9
    Junior Member Репутация
    Регистрация
    08.03.2007
    Сообщений
    62
    Вес репутации
    36
    Давно ждал этого совета, а какой антивирус?
    В плане у меня переустановка Windows-а и установка dr.web-а, но во первых пока на дисках D,E,F есть вирусы переустановка Windows-а бессмысленно, а во вторих нужен новый ключ для Dr.Web.

  11. #10
    Junior Member Репутация
    Регистрация
    08.03.2007
    Сообщений
    62
    Вес репутации
    36
    Я ошибался и не делал полную проверку с помощью утилиты cureIt. На этот раз выполнял полную проверку и удалил порядка 500 вирусов. Посмотрите ещё раз логи, пожалуйста.

    P.S. Можно ли установить антивирус на зараженном компьютере?
    Последний раз редактировалось ika; 12.02.2009 в 20:42.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Установить антивирус для вас единственная альтернатива переустановки системы.
    Поставьте один из тех, которые детектируют вирус как Jeefo или Hidrag:
    http://www.virustotal.com/ru/analisi...022339f6c2e122
    СureIt не проверяет архивы и если есть зараженные файлы на СD или флешке то компьютер без антивируса снова будет заражен.

    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('c:\windows\system32\hbzhuxian.dll','');
     QuarantineFile('C:\WINDOWS\system32\upnpsrv.dll','');
     QuarantineFile('C:\WINDOWS\system32\HBmhly.dll','');
     QuarantineFile('C:\WINDOWS\system32\E4814792.dll','');
     QuarantineFile('C:\WINDOWS\system32\66AFCB56.dll','');
     QuarantineFile('C:\WINDOWS\system32\01AFE3DC.dll','');
     QuarantineFile('C:\WINDOWS\MKMKrnl.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\HBKernel32.sys','');
     DeleteService('HBKernel32');
     DeleteService('d7b49fa');
     DeleteService('ca99d57');
     QuarantineFile('C:\WINDOWS\system32\ca99d57.sys','');
     QuarantineFile('C:\WINDOWS\system32\d7b49fa.sys','');
     DeleteService('c39e8db');
     QuarantineFile('C:\WINDOWS\system32\c39e8db.sys','');
     QuarantineFile('C:\WINDOWS\system32\HBZHUXIAN.dll','');
     QuarantineFile('C:\WINDOWS\System32\HBmhly.dll','');
     QuarantineFile('C:\WINDOWS\system32\F8E07BB2.dll','');
     QuarantineFile('C:\WINDOWS\system32\F65BDEC7.dll','');
     QuarantineFile('C:\WINDOWS\system32\F2CBFAC4.dll','');
     QuarantineFile('C:\WINDOWS\system32\E3367679.dll','');
     QuarantineFile('C:\WINDOWS\system32\E0D39066.dll','');
     QuarantineFile('C:\WINDOWS\system32\DA63E650.dll','');
     QuarantineFile('C:\WINDOWS\system32\D7C79813.dll','');
     QuarantineFile('C:\WINDOWS\system32\C8FFD223.dll','');
     QuarantineFile('C:\WINDOWS\system32\BA7EDF54.dll','');
     QuarantineFile('C:\WINDOWS\system32\B3721C07.dll','');
     QuarantineFile('C:\WINDOWS\system32\actxprxy.dll','');
     QuarantineFile('C:\WINDOWS\system32\9F684DE8.dll','');
     QuarantineFile('C:\WINDOWS\system32\9CA963CA.dll','');
     QuarantineFile('C:\WINDOWS\system32\93DEE065.dll','');
     QuarantineFile('C:\WINDOWS\system32\70B0129E.dll','');
     QuarantineFile('C:\WINDOWS\system32\5934EA2B.dll','');
     QuarantineFile('C:\WINDOWS\system32\58FF3024.dll','');
     QuarantineFile('C:\WINDOWS\system32\5243F5FA.dll','');
     QuarantineFile('C:\WINDOWS\system32\4D023DE9.dll','');
     QuarantineFile('C:\WINDOWS\system32\43ACDCC5.dll','');
     QuarantineFile('C:\WINDOWS\system32\3F21AA0C.dll','');
     QuarantineFile('C:\WINDOWS\system32\2EF0D734.dll','');
     QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
     QuarantineFile('C:\WINDOWS\system32\08223B03.dll','');
     QuarantineFile('c:\windows\system32\system.exe','');
     DeleteFile('c:\windows\system32\system.exe');
     DeleteFile('C:\WINDOWS\system32\08223B03.dll');
     DeleteFile('C:\WINDOWS\system32\122B901E.dll');
     DeleteFile('C:\WINDOWS\system32\2EF0D734.dll');
     DeleteFile('C:\WINDOWS\system32\3F21AA0C.dll');
     DeleteFile('C:\WINDOWS\system32\43ACDCC5.dll');
     DeleteFile('C:\WINDOWS\system32\4D023DE9.dll');
     DeleteFile('C:\WINDOWS\system32\5243F5FA.dll');
     DeleteFile('C:\WINDOWS\system32\58FF3024.dll');
     DeleteFile('C:\WINDOWS\system32\5934EA2B.dll');
     DeleteFile('C:\WINDOWS\system32\66AFCB56.dll');
     DeleteFile('C:\WINDOWS\system32\70B0129E.dll');
     DeleteFile('C:\WINDOWS\system32\93DEE065.dll');
     DeleteFile('C:\WINDOWS\system32\9CA963CA.dll');
     DeleteFile('C:\WINDOWS\system32\9F684DE8.dll');
     DeleteFile('C:\WINDOWS\system32\B3721C07.dll');
     DeleteFile('C:\WINDOWS\system32\BA7EDF54.dll');
     DeleteFile('C:\WINDOWS\system32\C8FFD223.dll');
     DeleteFile('C:\WINDOWS\system32\D7C79813.dll');
     DeleteFile('C:\WINDOWS\system32\DA63E650.dll');
     DeleteFile('C:\WINDOWS\system32\E0D39066.dll');
     DeleteFile('C:\WINDOWS\system32\E3367679.dll');
     DeleteFile('C:\WINDOWS\system32\F2CBFAC4.dll');
     DeleteFile('C:\WINDOWS\system32\F65BDEC7.dll');
     DeleteFile('C:\WINDOWS\system32\F8E07BB2.dll');
     DeleteFile('C:\WINDOWS\System32\HBmhly.dll');
     DeleteFile('C:\WINDOWS\system32\HBZHUXIAN.dll');
     DeleteFile('C:\WINDOWS\system32\c39e8db.sys');
     DeleteFile('C:\WINDOWS\system32\d7b49fa.sys');
     DeleteFile('C:\WINDOWS\system32\ca99d57.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\HBKernel32.sys');
     DeleteFile('C:\WINDOWS\MKMKrnl.dll');
     DeleteFile('C:\WINDOWS\system32\01AFE3DC.dll');
     DeleteFile('C:\WINDOWS\system32\E4814792.dll');
     DeleteFile('C:\WINDOWS\system32\HBmhly.dll');
     DeleteFile('c:\windows\system32\hbzhuxian.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

  13. #12
    Junior Member Репутация
    Регистрация
    08.03.2007
    Сообщений
    62
    Вес репутации
    36
    Вот лог.
    Последний раз редактировалось ika; 12.02.2009 в 20:42.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    На данный момент чисто.

    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     ClearQuarantine;
     SysCleanAddFile('hbzhuxian.dll');
    ExecuteSysClean;
    end.

  15. #14
    Junior Member Репутация
    Регистрация
    08.03.2007
    Сообщений
    62
    Вес репутации
    36
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    На данный момент чисто.
    [/code]
    Скрипт выполнен, жалоб нет. Ещё раз огромное вам спасибо!

  • Уважаемый(ая) ika, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 02.10.2010, 19:37
    2. BackDoor.Tdss, Trojan.Starter, Trojan.Packed, и Trojan.FakeAlert
      От Stewart little в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.04.2009, 13:05
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    4. System error! Some dangerous trojan horses detected on your system
      От shyp117 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.07.2008, 02:45
    5. Ошибка System Error! Yor system was infected by dangerouse trojan.
      От RusFu3 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 29.05.2008, 00:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01216 seconds with 20 queries