Показано с 1 по 18 из 18.

Подозрение на троян (заявка № 40343)

  1. #1
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    56

    Exclamation Подозрение на троян

    Помогите уничтожить заразу.
    Последний раз редактировалось Тарасов Сергей; 15.07.2009 в 14:07.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\drivers\winmgmt.exe','');
     QuarantineFile('G:\RECYCLER\S-1-6-21-2438476501-1644491937-701003331-1213\WinMgmt.exe','');
     QuarantineFile('G:\autorun.inf','');
     DeleteFile('G:\RECYCLER\S-1-6-21-2438476501-1644491937-701003331-1213\WinMgmt.exe');
     DeleteFile('G:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    56
    Файл сохранён как 090224_133925_virus_49a3ce5de0d1e.zip
    Размер файла 1466861
    MD5 bd45d5cd0fc0f9ad986a114ba89bf2d9
    Последний раз редактировалось Тарасов Сергей; 15.07.2009 в 14:07.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    проблема решилась?

  6. #5
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    56
    Пофиксил.
    Нет, зараза (подозрение у меня на C:\WINDOWS\system32\drivers\WinMgmt.exe) жива.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Сделайте полную проверку AVPTool...

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\y3q2s3w17m5.exe');
     TerminateProcessByName('c:\windows\system32\drivers\winmgmt.exe');
     DeleteFile('c:\windows\system32\drivers\winmgmt.exe');
     DeleteFile('c:\y3q2s3w17m5.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\WinMgmt.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт ...
    и после перезагрузки сделайте новые логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    56
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    проблема решилась?
    пофиксил, теперь не грузится винда, дальше винлогона не идет, сбрасывает опять на приветствие(ввод логина и пароль)

    Что делать? Переустанавливать только? Или userinit можно скопировать с другого компьютера?

    Добавлено через 7 часов 17 минут

    расскажите как вернуть пофиксенное в хайджеке обратно, не грузится винда из-за этого. Или расскажите что именно я изменил этим фиксом?
    Последний раз редактировалось Тарасов Сергей; 25.02.2009 в 16:08. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Тут явно какой-то глюк случился, т.к. фикс этой строчки ничего не удаляет, а только исправляет ключ userinit. И вообще в таком виде эта строчка не должна была появиться в логе хайджека, т.к. она правильная и исправлять там нечего.

    Проверьте наличие файла C:\WINDOWS\system32\userinit.exe. Его можно скопировать из другой системы или восстановить из дистрибутива, используя консоль восстановления или LiveCD. На всякий случай скопируйте его еще и в папку C:\WINDOWS\ .
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    56
    Цитата Сообщение от Bratez Посмотреть сообщение
    Тут явно какой-то глюк случился, т.к. фикс этой строчки ничего не удаляет, а только исправляет ключ userinit. И вообще в таком виде эта строчка не должна была появиться в логе хайджека, т.к. она правильная и исправлять там нечего.

    Проверьте наличие файла C:\WINDOWS\system32\userinit.exe. Его можно скопировать из другой системы или восстановить из дистрибутива, используя консоль восстановления или LiveCD. На всякий случай скопируйте его еще и в папку C:\WINDOWS\ .
    Проверил, файл там есть, но я перезаписал с дистрибутива(так же и в папку c:\windows\). Результат нулевой. Еще бы понять как с помощью ERD CD посмотреть реестр машины. Там другой путь (не C:\WINDOWS\system32\userinit.exe), но при рестарте, эта строка меняется на исходную.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Там другой путь
    Как вы это узнали? Другой - это какой? Положите userinit.exe и туда тоже!
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    56
    Цитата Сообщение от Bratez Посмотреть сообщение
    Как вы это узнали? Другой - это какой? Положите userinit.exe и туда тоже!
    Я уже положил этот файл везде где только можно.
    Другой путь -
    при просмотре ERD(G:\i386..\userinit.exe) и WiNPE в реестре этот путь для обеих оболочек разный. Я так понимаю, что смотрю реестр не этого компьютера, а реестр этих LIVECD. Нормальный реестр компа не подхватывается.

    Вобщем как бы ни хотелось винду придется переустанавливать, вместе со всеми приложениями. Всего изза одного неправильного пути в реестре на один долбаный файлик.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    у вас Platform: Windows 2003 SP2 поэтому фиксить нельзя ... нужно экспортировать ветку из другой системы ....
    понимаю, что смотрю реестр не этого компьютера, а реестр этих LIVECD.
    точно загрузите нужный реестр

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Тарасов Сергей Посмотреть сообщение
    Я так понимаю, что смотрю реестр не этого компьютера, а реестр этих LIVECD. Нормальный реестр компа не подхватывается.
    Правильно понимаете. Нужно выделить слева блок HKEY_USERS, выбрать в меню Файл - Загрузить куст... и указать файл реестра больной системы. По окончании редактирования выделить слева этот куст и сделать Файл - Выгрузить куст.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    56
    Цитата Сообщение от Bratez Посмотреть сообщение
    Правильно понимаете. Нужно выделить слева блок HKEY_USERS, выбрать в меню Файл - Загрузить куст... и указать файл реестра больной системы. По окончании редактирования выделить слева этот куст и сделать Файл - Выгрузить куст.
    Файл реестра больной системы? А где его взять если бэкапы реестра не производились, в какой директории он лежит? Ни разу не видел чтобы реестр хранился в каком то отдельном файле, если его предварительно не выгрузить в *.reg.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    C:\WINDOWS\system32\config - файлы software и system без расширений.
    Профиль пользователя - ntuser.dat.
    I am not young enough to know everything...

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\winmgmt.exe - Backdoor.Win32.SdBot.knb
      2. g:\recycler\s-1-6-21-2438476501-1644491937-701003331-1213\winmgmt.exe - Backdoor.Win32.SdBot.knb


  • Уважаемый(ая) Тарасов Сергей, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на WM троян
      От -=DeS=- в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.05.2010, 10:43
    2. Подозрение на троян.
      От qokyon в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.04.2010, 00:57
    3. Подозрение на троян
      От psyinfo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 05.12.2009, 12:20
    4. Подозрение на троян
      От Brodsky в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 04:06
    5. Подозрение на троян Подозрение на Trojan.Win32.Pakes.lis
      От Валентин_K в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2009, 15:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00362 seconds with 19 queries