Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Атака троянов на ноутбук [Backdoor.Win32.Zdoogu.j, , Trojan-Ransom.Win32.Hexzone.agn ] (заявка № 37318)

  1. #1
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34

    Question Атака троянов на ноутбук [Backdoor.Win32.Zdoogu.j, , Trojan-Ransom.Win32.Hexzone.agn ]

    Добрый день!
    Ноутбук атаковали вирусы. McAfee обнаружил New Poly Win32 (файл не может быть вылечен, удален или перемещен).
    Начали диагностику по вашей схеме.
    CureIt! обнаружилTrojan DownLoader (неизлечим). После выполнения первого скрипта AVZ и соответствующей перезагрузки автоматически включился McAfee и после попытки удалить зараженный файл началось следующее: при открытии любого окна Интернета посередине страницы появлялась так называемая «новостная лента», которую никак невозможно удалить (с предложением отправить sms на указанный номер).
    На форум virusinfo вход стал возможен только после повторной проверки CureIt! (снова обнаружил пару троянов - вылечить не удается, предлагает только move).

    Как с этим бороться? Очень не хотелось бы переустанавливать Windows – на ноутбуке он был предустановлен, диска не прилагалось.

    И еще: не уверены, что AVZ получил именно те файлы, которые нужно, ибо скачался он в англоязычном варианте (русский шрифт не читается), поэтому выполнили те скрипты, которые подходят по смыслу перевода. Если нужно выполнить другое, сообщите, пожалуйста, если нетрудно, их английские варианты или же номера скриптов.

    Очень надеемся на вашу помощь!
    Последний раз редактировалось Morwane; 04.04.2010 в 18:01.

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Установите AVZPM и сделайте логи...

  4. #3
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34
    Сделали.
    Тока после проверки AVZ создает три зипованных архива: virusinfo_syscure, virusinfo_cure и virusinfo_files_TOSHIBA-USER. Два последних по 7 с лишним Мб, и они превышают лимит.
    Мы что-то делаем не так?
    Последний раз редактировалось Morwane; 02.12.2009 в 21:34.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    все выполняется (и логи в том числе) в нормальном режиме ...
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('%Windir%\expmodule.exe');
     QuarantineFile('C:\WINDOWS\system32\3342392367003512451966553736700353670035.exe','');
     QuarantineFile('C:\WINDOWS\system32\1703995386663891751713107338666383866638.exe','');
     QuarantineFile('digeste.dll','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     DeleteService('oryadwikuanvg');
     QuarantineFile('C:\WINDOWS\system32\drivers\rckutnsq.sys','');
     QuarantineFile('C:\WINDOWS\system32\wmmest.dll','');
     DeleteFile('C:\WINDOWS\system32\wmmest.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\rckutnsq.sys');
     DeleteFile('C:\WINDOWS\system32\1703995386663891751713107338666383866638.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34
    Скрипт выполнили. Пропали ВСЕ значки с рабочего стола.
    С трудом вышли в Интернет.
    Что делать?! Можно ли как-то откатить назад?

    Карантин отправлен.
    Последний раз редактировалось Morwane; 14.01.2009 в 00:57.

  7. #6
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34
    Логи.
    Последний раз редактировалось Morwane; 02.12.2009 в 21:34.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Карантин в теме - это моветон.

  9. #8
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34
    Как в теме?
    Карантин был отправлен, как указано в Правилах: "используя ссылку на страницу загрузки (Прислать запрошенный карантин) в шапке Вашей темы".

    А по поводу третьего архива мы спрашивали еще в первом посте: AVZ у нас на английском, выполняли №3 и №4. Повторяю вопрос: если мы выполняем (и отсылаем) не тот скрипт, укажите, пожалуйста, как делать правильно.

    ПОЖАЛУЙСТА, помогите! Выполнено все, что вы просили. В итоге на рабочем столе абсолютно все пропало.

    Добавлено через 3 часа 2 минуты

    Что нам делать дальше?!

    Пришел ли карантин (там очень много файлов, работоспособность ноутбука нарушена)?
    Последний раз редактировалось Morwane; 14.01.2009 в 17:17. Причина: Добавлено

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('digeste.dll');
     DeleteFile('C:\System Volume Information\_restore{BC554F74-5213-4B02-B93C-494AF5486CCD}\RP1\A0000009.exe');
     DeleteFile('C:\WINDOWS\system32\3342392367003512451966553736700353670035.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('oryadwikuanvg');
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Повторите логи.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34
    Bratez, спасибо.
    Подскажите, пожалуйста, как отключить восстановление системы.
    Повторюсь - у нас пропала кнопка Пуск и все значки с рабочего стола. Есть только Диспетчер задач (в нем поискали - возможности отключить восстановление не нашли).
    Последний раз редактировалось Morwane; 14.01.2009 в 18:43.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Morwane Посмотреть сообщение
    Подскажите, пожалуйста, как отключить восстановление системы
    Ctrl-Alt-Del (Диспетчер задач) - Файл - Новая задача - sysdm.cpl
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34
    Дальше - круче!
    Сделали еще одну попытку. Вошли в Диспетчер задач, нажали на Мой компьютер правой кнопкой и попытались открыть Проводник. Попытка была безуспешной. НО! После этого восстановились значки и появилась кнопка Пуск. Что это было?!.

    Нужно ли выполнять в данной ситуации предложенный вами скрипт? Или сделать что-то другое?

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Скрипт выполняйте, потом новые логи.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34
    Выполнили скрипт. После перезагрузки снова на рабочем столе значки не появились. Вернули их так же, как в предыдущей попытке.
    Кстати, при этой операции появляется окошко: «Windows не удалось найти ‘/e,/idlist,:708:2216,’ (в другом варианте: e,/idlist,:656:2560,’). Проверьте, что имя было введено правильно, и повторите попытку».

    Логи прилагаю. К сожалению, AVZ по-прежнему не создает архив virusinfo_syscheck (возможные причины изложены выше).
    Последний раз редактировалось Morwane; 04.04.2010 в 18:01.

  16. #15
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34
    Что нам еще нужно предпринять?

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    подождем ответ на присланный карантин

  18. #17
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34
    Добрый день! Что там с нашим карантином?

    Добавлено через 2 часа 52 минуты

    Еще такой вопрос: ноутбук длительное время не был подключен к Интернету. Теперь Windows предлагает установить много обновлений.
    Стоит ли их сейчас устанавливать, или лучше подождать окончания лечения?
    Последний раз редактировалось Morwane; 15.01.2009 в 13:24. Причина: Добавлено

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Установите...

  20. #19
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    34
    Уже устанавливаем.

    А что там с нашим карантином?

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Пока ничего...

  • Уважаемый(ая) Morwane, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. атака троянов + monoca32.exe
      От belle в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.08.2010, 14:37
    2. Атака троянов
      От antonina-club в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.02.2009, 01:15
    3. Атака троянов [Trojan.Win32.Antavmu.bfd ]
      От charly_aen в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:43
    4. атака троянов:((((
      От Сашик в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.11.2007, 23:24
    5. Атака троянов
      От Av64 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 08.10.2007, 11:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01661 seconds with 22 queries