Показано с 1 по 13 из 13.

Троянов немерено (заявка № 39692)

  1. #1
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    60

    Exclamation Троянов немерено

    Здравствуйте!
    Проблема такая: утром CureIt! обнаружил много троянов. Вылечить удалось не все. Перед диагностикой стабильно находил Trojan.Spambot.3434, а в безопасном режиме не находит ничего.

    На некоторые сайты и почтовые серверы зайти невозможно. При открытии сайта VirusInfo появляется надпись: "Warning! your computer contains various signs of viruses and malware programs presence. Your system requires immediate anti viruses check! System Security will perform a quick and free scanning of your PC for viruses and malicious programs", а потом предлагает его установить. Но что-то меня останавливает...

    Логи прилагаю (syscheck у нас не создается). Насколько я понимаю, много файлов не удалось отправить в карантин.

    Что делать?
    Последний раз редактировалось Morwane; 02.12.2009 в 21:34.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\spria.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\fc78c839.sys','');
     QuarantineFile('C:\WINDOWS\system32\65285ef862e8bf1f53fe5d49b73ee7d6.sys','');
     QuarantineFile('C:\mnbfpht.exe','');
     QuarantineFile('C:\Documents and Settings\Patrikeyev Artem\Local Settings\Temporary Internet Files\Content.IE5\QHW3SNEF\islre[1].htm','');
     QuarantineFile('C:\Windows\system32\drivers\UACigiltlwb.sys','');
     QuarantineFile('C:\Windows\system32\UACbcoecypu.dll','');
     DeleteFile('C:\WINDOWS\system32\spria.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\fc78c839.sys');
     DeleteFile('C:\WINDOWS\system32\65285ef862e8bf1f53fe5d49b73ee7d6.sys');
     DeleteFile('C:\mnbfpht.exe');
     DeleteFile('C:\Documents and Settings\Patrikeyev Artem\Local Settings\Temporary Internet Files\Content.IE5\QHW3SNEF\islre[1].htm');
     DeleteFile('C.\Windows\system32\drivers\UACigiltlwb.sys');
     DeleteFile('C:\Windows\system32\UACbcoecypu.dll');
     DelCLSID('{ada8c222-95d2-47b5-950b-aebc0a508839}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    60
    Спасибо.
    Вроде бы все сделали. Только при попытке зайти на VirusInfo почему-то сначала появляется надпись looking up stabilityred.com, а потом появляется дополнительное окно с адресом http://windowsclick.com/avredirector.php . Что бы это могло?..

    И еще глупый вопрос: что означает
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    У нас avz, как мы уже писали, не создает архив virusinfo_syscheck.
    Карантин отправили.
    Последний раз редактировалось Morwane; 10.03.2010 в 01:55.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    И еще глупый вопрос: что означает
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    Список логов, которые нужно эагрузить - больше ничего.

    Цитата Сообщение от Morwane Посмотреть сообщение
    У нас avz, как мы уже писали, не создает архив virusinfo_syscheck.
    Вы получете сообщение об ошибке? Или какое-нибудь другое сообщение? Или крэш АВЗ?

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('fc78c839');
     StopService('65285ef862e8bf1f53fe5d49b73ee7d6');
     QuarantineFile('C:\WINDOWS\system32\65285ef862e8bf1f53fe5d49b73ee7d6.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\UACigiltlwb.sys','');
     QuarantineFile('C:\WINDOWS\system32\UACbcoecypu.dll','');
     DeleteService('fc78c839');
     DeleteService('65285ef862e8bf1f53fe5d49b73ee7d6');
     DeleteFile('C:\WINDOWS\System32\drivers\fc78c839.sys');
     DeleteFile('C:\WINDOWS\system32\65285ef862e8bf1f53fe5d49b73ee7d6.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\UACigiltlwb.sys');
     DeleteFile('C:\WINDOWS\\system32\UACbcoecypu.dll');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('fc78c839');
     BC_DeleteSvc('65285ef862e8bf1f53fe5d49b73ee7d6');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    60
    Сделано.
    По-прежнему повторяются эпизодические проблемы с авторизацией на некоторых сайтах. И такое впечатление, что ноутбук подтормаживает при работе в Интернете.

    avz у нас англоязычный (поскольку Windows тоже на английском языке). Мы выполняем стандартные скрипты №3 (Healing/Quarantine and Standard System Analysis) и №4 (Collecting not recognized and suspicious files). В итоге создается три зипованные папки: virusinfo_cure, virusinfo_files_TOSHIBA-USER и virusinfo_syscure.

    Логи прилагаем.
    Последний раз редактировалось Morwane; 10.03.2010 в 01:55.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    я бы деинсталировал:
    c:\program files\common files\aol\topspeed\2.0\aoltpspd.exe

    C:\Program Files\QuickTime\qttask.exe

    да и всё чем не пользуетесь -удалить.



    как у вас в avz на 4 сместилось не пойму, в этом ваша ошибка. надо 2 и 3 выполнять

    "Advanced System Investigation" & "Healing/Quarantine and Standard System Analysis"
    Последний раз редактировалось drongo; 15.02.2009 в 20:14. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    60
    То есть сначала нужно выполнять скрипт №3, а потом №2, так? А то в прошлый раз спрашивали неоднократно, никто так и не ответил.

    А как лучше удалить c:\program files\common files\aol\topspeed\2.0\aoltpspd.exe? И что это вообще такое? Как его идентифицировать в "установке и удалении программ"?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    в правилах же написано последовательность исполнения, зачем спрашивать ? Перечитайте внимательно, можете на английском
    ищите что-то на подобие AOL® TopSpeed- приблуда от AOL сомнительной полезности.

  10. #9
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    60
    ищите что-то наподобие AOL® TopSpeed- приблуда от AOL сомнительной полезности
    У нас нашлось вот что:
    AOL Coach Version 2.0
    AOL Connectivity Services
    AOL Spyware Protection
    AOL You've Got Pictures Screensaver
    Кто это такие, интересно?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от Morwane Посмотреть сообщение
    У нас нашлось вот что:
    AOL Coach Version 2.0
    AOL Connectivity Services
    AOL Spyware Protection
    AOL You've Got Pictures Screensaver
    Кто это такие, интересно?
    всем выдать чёрную метку
    есть в русском языке слово: хлам - очень подходит

    можно в Google поискать, если интересно

  12. #11
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    60
    Ага, понятно.
    А как там наш карантин?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Morwane Посмотреть сообщение
    А как там наш карантин?
    Не наш, а Ваш ©. Ничего зловредного не найдено.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 22
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Morwane, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. куча троянов
      От mclaren_fan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.04.2009, 12:40
    2. Куча троянов [Trojan.Win32.Inject.nph ]
      От Red352 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 10:04
    3. Куча троянов
      От AndreyM16 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 03:45
    4. 10 троянов
      От rrChip в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:45
    5. Кучка троянов
      От Rogoff в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.08.2007, 13:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00474 seconds with 19 queries