Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Компьютер заражен вирусами [Trojan-Downloader.Win32.Agent.azdt, Backdoor.Win32.Hupigon.fkww ] (заявка № 36679)

  1. #1
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35

    Thumbs up Компьютер заражен вирусами [Trojan-Downloader.Win32.Agent.azdt, Backdoor.Win32.Hupigon.fkww ]

    Комп начал странно себя вести: сначала перестал нормально завершать работу - выключение только по кнопке. Когда начал исследовать проблему, не смог загрузиться в безопасном режиме - после начала загрузки он перегружался. Не показывал данные "Мой компьютер", можно было зайти только в конкретную папку по ярлыку или введя ее имя в строке Проводника. Постоянно какие-то программы лезли в автозагрузку. Обратил внимание на огромный исходящий трафик. Многие программы перестали загружаться - просто висли...
    Начать лечение стало возможно только после удаления из system32 4-х файлов имя которых начиналось с "tak" еще 2 буквы не помню, расширение exe и жесткой перезагрузки. Только после этого смог запустить Kasp Virus Removal, который нашел 61 вирус - трояны, ворм, пакт, адвар, и удалил эти файлы.
    После этого сделал почти все в соответствии с правилами, кроме ХайДжека. Он не запускается, предлагает искать поисковиком винда. Файл скачал заново, но ситуация та же.
    Прилагаю также отчет KVR.
    Нужна помощь!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('WINS');
     QuarantineFile('C:\WINDOWS\system32\winos.exe','');
     QuarantineFile('C:\WINDOWS\system32\takyx.exe','');
     DeleteService('takyx');
     DeleteService('takyd');
     QuarantineFile('C:\WINDOWS\system32\takyd.exe','');
     QuarantineFile('C:\WINDOWS\system32\takxx.exe','');
     DeleteService('takxx');
     DeleteService('taksw');
     QuarantineFile('C:\WINDOWS\system32\taksw.exe','');
     QuarantineFile('C:\WINDOWS\system32\takgu.exe','');
     DeleteService('takgu');
     DeleteService('takfl');
     QuarantineFile('C:\WINDOWS\system32\takfl.exe','');
     DeleteService('RiSingKaKa');
     QuarantineFile('C:\WINDOWS\system32\RiSing.exe','');
     DeleteFile('C:\WINDOWS\system32\RiSing.exe');
     DeleteFile('C:\WINDOWS\system32\takfl.exe');
     DeleteFile('C:\WINDOWS\system32\takgu.exe');
     DeleteFile('C:\WINDOWS\system32\taksw.exe');
     DeleteFile('C:\WINDOWS\system32\takxx.exe');
     DeleteFile('C:\WINDOWS\system32\takyd.exe');
     DeleteFile('C:\WINDOWS\system32\takyx.exe');
     DeleteFile('C:\WINDOWS\system32\winos.exe');
     DeleteFile('yes.exe');
     DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
     DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\F3POPSWT.DLL');
     DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL');
     DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
    BC_ImportDeletedList;
    ExecuteRepair(9);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35
    Скрипт выполнил, но после его выполнения, когда комп ушел в перезагрузку он завис и выключился только по кнопке.

    Вкладываю карантин, новые логи. Да, и ХайДжек тоже запустился.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 04.01.2009 в 12:17. Причина: карантин в теме

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    читаем приложение 3 правил ...

  6. #5
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35

    Прошу прощения! (Читать нужно внимательней!)

    Я все загрузил.
    Последний раз редактировалось TornadoBS; 04.01.2009 в 15:31.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    в логах ничего плохого , что с проблемами ?

  8. #7
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35
    Пока вроде проблем уже нет....
    но какая-то программа без имени без названия просит вставить ассоциацию для расширения scr. Я ее не пускаю (scotty), но через 10-15 мин она повторяет запрос.
    Раньше этого не было, она начала появляться во время лечения...

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    скриншет окна сделайте ...

  10. #9
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35
    Как выскочит, сделаю...

    И еще сейчас проверил, не могу загрузиться в безопасном режиме... после выбора системы бегут строки команд, и через несколько секунд комп перегружается....

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ExecuteRepair(10);  
    RebootWindows(true);
    end.
    Сообщите что с безопасным режимом...

  12. #11
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35
    А вот и СкринШот:
    Изображения Изображения

  13. #12
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35
    Скрипт сделал.... Безопасный режим загрузился!

    Добавлено через 6 часов 35 минут

    Что же можно сделать с этой ассоциацией?
    Последний раз редактировалось TornadoBS; 04.01.2009 в 22:42. Причина: Добавлено

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    ассоциации SCR файлов восстанавливаются при помощи авз- мастер поиска и устранения проблем ...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Лог HijackThis при появлении окна сделайте (окно не закрывайте).
    Вообще это похоже на какого-то доморощенного антишпиона.

    P.S. Правильная команда для этого расширения:
    Код:
    "%1" /S
    Посмотрите в HKCR\scrfile\shell\open\command

  16. #15
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35
    Цитата Сообщение от V_Bond Посмотреть сообщение
    ассоциации SCR файлов восстанавливаются при помощи авз- мастер поиска и устранения проблем ...
    Мастер выдал только очистку кэшей, загрузки с CD, очистку темпов, историй и т.п. Эту проблему он не исправил...

    Цитата Сообщение от pig Посмотреть сообщение
    Лог HijackThis при появлении окна сделайте (окно не закрывайте).
    Вообще это похоже на какого-то доморощенного антишпиона.
    Лог сделал при висящем окне ошибки, прикладываю, но такой строки в нем нет: HKCR\scrfile\shell\open\command ....
    Scotty - отслеживает всякие изменения реестров, ассоциаций, автозагрузок на предмет несанкционированного прописания вредных или ненужных программ - это антишпион? Программа еще называется WinPatrol.

    Что можно сделать еще?
    Последний раз редактировалось TornadoBS; 05.01.2009 в 00:06.

  17. #16
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35
    Вот лог ХайДжека.
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    А, понятно, вы знаете, что такое scotty, вас смущают пустые NAME и Company name... Это нормальная реакция системы (информация явно от неё) на ассоциации такого типа, когда файл открывается самим собой. Естественно, заранее никак нельзя определить имя приложения и его "отцов".

    В реестре посмотрите значение в ключе HKEY_CLASSES_ROOT\scrfile\shell\open\command - что там сейчас?

  19. #18
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35
    Цитата Сообщение от pig Посмотреть сообщение
    В реестре посмотрите значение в ключе HKEY_CLASSES_ROOT\scrfile\shell\open\command - что там сейчас?
    REG_SZ "%1" /S

    У меня есть подозрение, что это связано с удаленным MyWebSearch в процессе лечения компа.... Не могу сказать точно, но похожее сообщение выскакивало до лечения именно на программу или надстройку MyWebSearch.... А после лечения стало появляться вот такое безымянное сообщение....

    Может где-то нужно подчистить?
    Запрос корректировки из чего-то же возникает....
    Последний раз редактировалось TornadoBS; 05.01.2009 в 11:22.

  20. #19
    Junior Member Репутация
    Регистрация
    16.08.2007
    Сообщений
    40
    Вес репутации
    35
    Может кто-нибудь подсказать как убрать эту ошибку?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    А если сказать scotty "Да" - что будет? Он успокоится или нет и что пропишется в реестре?

  • Уважаемый(ая) TornadoBS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Компьютер заражен вирусами!
      От ParovoZ2010 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.10.2011, 09:42
    2. Компъютер заражен вирусами
      От anat9 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 18.08.2011, 10:40
    3. Кампьютер заражен вирусами
      От Larin в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.04.2011, 00:39
    4. Компьютер заражен вирусами (заявка №45047)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 03.01.2011, 09:00
    5. Ответов: 10
      Последнее сообщение: 10.12.2009, 23:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00430 seconds with 22 queries