Опять подхватил трояна. Полечил и сделал полную проверку программой Dr. Web CureIt!
Посмотрите, пожалуйста, информацию от AVZ и HijackThis:
Опять подхватил трояна. Полечил и сделал полную проверку программой Dr. Web CureIt!
Посмотрите, пожалуйста, информацию от AVZ и HijackThis:
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); TerminateProcessByName('c:\documents and settings\sau0001\5591'); QuarantineFile('c:\documents and settings\sau0001\5591',''); DeleteFile('c:\documents and settings\sau0001\5591'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); BC_Importall; BC_DeleteSvc('systemntmi'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=41872
Повторите логи по правилам.
Спасибо!
Скрипт выполнил, карантин загрузил.
И повторяю логи:
Последний раз редактировалось Rene-gad; 17.03.2009 в 12:32.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\sau0001\2229.exe'); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); QuarantineFile('c:\documents and settings\sau0001\2229.exe',''); DeleteFile('c:\documents and settings\sau0001\2229'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и ФайрволлКод:virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо, всё сделал. Карантин закачал. Прилагаю логи:
Обновите базы АВЗ!!!
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\sau0001\3710.ехе'); QuarantineFile('c:\documents and settings\sau0001\3710.ехе',''); DeleteFile('c:\documents and settings\sau0001\3710.ехе'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и ФайрволлКод:virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо! К сожалению, я не смогу сейчас это проделать, потому что нахожусь на работе, и пробуду здесь ещё часов пять. Но по возвращении домой продолжу чистку.
Я хотел бы здесь только сообщить, что я посмотрел FAR'ом папку c:\documents and settings\sau0001\, которая фигурирует в скриптах. И вот что я могу сказать. Там нет файлов с расширением .exe, зато есть с десяток однородных файликов, которые именуются четырёхзначными числами без никакого расширения. И ещё: я не создавал на компьютере пользователя sau0001, хотя и использовал такой ник на одном сайте. Может быть, мне просто снести совсем эту папку? Такое впечатление, что эта папка используется зловредом для временного создания этих экзешников, а сам он расположен где-то в другом месте. Или, может быть, прислать в карантине эти файлы, чтобы по ним распознать, какая зараза там сидит? А она, боюсь, всё-таки где-то сидит, потому что траффик через две-три минуты начинает быстро расти, даже если я ничего не делаю в сети.
В общем, буду благодарен за любой совет. Или, вернувшись домой, сделаю всё, что Вы предложили.
Точно нет такого пользователя?
Пуск- Выполнить- Control userpasswords2
Посмотрите.
Карантин пришлите, как писалось ранее.
Спасибо, дома проверю. Но не должно быть такого пользователя. Комп домашний, кроме меня, им никто не пользуется, вообще при загрузке никакого пользователя не спрашивает. Откуда он взялся?
Карантин сделаю и всё остальное, конечно.
Обновить базы данных AVZ не удалось. При попытке выдало:
Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip c http://www.z-oleg.com/secur/avz_up/ [21, 00000002]
При выполнении скрипта было красным что-то вроде "Ошибка карантина файла...", дальше не успел прочитать, потому что наступила перезагрузка.
Логи делал без обновления базы.
При выполнении Control userpasswords2 выдало, что на машине три пользователя:
User
Администратор
Гость
Пользователя с именем sau0001 нет. В директории c:\documents and settings\sau0001\ продолжает увеличиваться количество файлов с названием из трёх или четырёх цифр, без расширения, все одинаковой длины - 20123.
Траффик бешено растёт сразу после подключения к интернету.
Я в панике.
Не дождавшись здесь никакой реакции на последнее письмо, с отчаяния принялся экспериментировать. Вот что выяснилось:
В папке C:\WINDOWS\system32\drivers\ регулярно появляется какой-нибудь *.sys, который на поверку оказывается трояном Trojan.Download.24465.
После лечения программой Dr. Web CureIt! он исчезает, но через некоторое время опять появляется.
При выполнение скрипта лечения/карантина в списке процессов обязательно имеется запись c:\documents and settings\sau0001\хххх, где хххх - какое-нибудь число. И такой файл действительно имеется в этой папке.
Если его удалить командой скрипта DeleteFile('c:\documents and settings\sau0001\хххх');
после перезагрузки в этой папке обязательно появляется новый хххх, теперь уже это другое число, но файл обязательно есть.
И это - заколдованный круг.
Что делать?
Последний раз редактировалось Rene-gad; 19.03.2009 в 10:16.
Выполните скрипт
Сделайте полную проверку AVPTool.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('systemntmi'); DeleteService('systemntmi'); TerminateProcessByName('c:\documents and settings\sau0001\868'); DeleteFile('c:\documents and settings\sau0001\868'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFileMask('c:\documents and settings\sau0001', '*.*', true); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; BC_DeleteSvc('systemntmi'); ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
Логи повторите.
Последний раз редактировалось light59; 20.03.2009 в 11:36.
Кажется, мы победили зловреда. Огромный Вам спасиб! У меня не получалось качать Касперского, потому что из-за вредных деяний вируса меня периодически блокировал и отключал от сети провайдер. Всё-таки я скачал программу в другом месте. Провёл шесть или восемь итераций, Касперский нашёл больше десятка гнездовий вируса, всех их замочил, вот что мы имеем в результате:
Ничего зловредного в логах нет.
Выполните скрипт в AVZ:
Код:begin DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}'); DelBHO('{59A861EE-32B3-42cd-8CCA-FC130EDF3A44}'); end.
Сердце решает кого любить... Судьба решает с кем быть...
Спасибо!!!! Ваше сообщение - как пение соловья в майскую ночь!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\sau0001\5591 - Worm.Win32.Small.bb ( BitDefender: Trojan.Dropper.Kobcka.Gen.1 )
- c:\windows\system32\drivers\ati64si.sys - Rootkit.Win32.Agent.gvv ( DrWEB: Trojan.DownLoad.24465, BitDefender: Trojan.Inject.TZ )
- c:\windows\system32\drivers\systemntmi.sys - Rootkit.Win32.Agent.gvv ( DrWEB: Trojan.DownLoad.24465, BitDefender: Trojan.Inject.TZ )
Уважаемый(ая) Vlad_Bor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.