Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Поймали трояна. (заявка № 41914)

  1. #1
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30

    Exclamation Поймали трояна.

    Доброго вечера,
    вирус блокирует многие функции, HJK виснет вглухую, делаю логи согласно Правилам, вот только выкладываю через флешку - на сайт не пускает.

    Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\Documents and Settings\qwe\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
     QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
     QuarantineFile('c:\windows\system32\com\smss.exe','');
     QuarantineFile('c:\windows\system32\com\lsass.exe','');
     QuarantineFile('C:\WINDOWS\system32\AntiTool.exe','');
     DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
     DeleteFile('c:\windows\system32\com\lsass.exe');
     DeleteFile('c:\windows\system32\com\smss.exe');
     DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
     DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
     DeleteFile('C:\WINDOWS\system32\dnsq.dll');
     DeleteFile('C:\pagefile.pif');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\NetApi000.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
     DeleteFile('C:\037589.log');
     DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
     DeleteFileMask('c:\', 'lsass.exe.*', false);
     DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
     DeleteFile('C:\Documents and Settings\qwe\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\fasd621.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
    BC_ImportALL;
     BC_DeleteSvc('kbd');
     BC_DeleteSvc('Schedule');
     BC_DeleteSvc('AudioSrvHidServ');
     BC_DeleteSvc('Googles Onlines Search Services');
    ExecuteSysClean;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
     ExecuteRepair(1); 
     ExecuteRepair(6);
     ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=41914
    Повторите логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30
    Выполнено.

    Высылаю логи и карантин. По-прежнему с флешки - напрямую с сайтом соединиться не могу - выдает ошибку. И винт работает постоянно...

    Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
     DeleteFile('C:\WINDOWS\system32\dnsq.dll');
     DeleteFile('crypts.dll');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_DeleteSvc('qandr');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите логи.
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30
    Выполнил.

    Логи выкладываю, запустился HJK - выкладываю...
    После выполнения скрипта опять дисконнект с "Вирусинфо" - запустил АВИРУ - так каждые 15 сек ругань на Crypt.DX.3 из c:/windows/msacm32.drv...

    Жду инструкций. Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Не нравится мне вот этот файл C:\WINDOWS\system32\fcfaf.dll и еще больше вот это:

    O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
    O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
    Пока сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30
    Благополучно послал меня Gmer... На 2-3 сек появляется и гаснет... На сайт не пускает, АВИРУ обновить не дает... Но при всем при этом, к примеру, Рамблер грузит исправно. Мдя...

    Алексей.

    Добавлено через 1 минуту

    А как провода надоело туда-сюда - системника 2, а вот перефирии ((
    Последний раз редактировалось Sibirian; 18.03.2009 в 01:33. Причина: Добавлено

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Попробуйте это http://virusinfo.info/showthread.php?t=41675
    Наша служба, будто сердце, отдыха не знает никогда.

  10. #9
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30
    Скачал, переключаю шнуры.
    Спс, что не спите)

    Алексей.

  11. #10
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30
    После KKiller (выдал 2 сообщения об убийстве в svchost.exe - PID 960) запустился Gmer. Выкладываю 2 лога - просто неожиданно сразу в первый раз пошел, не уверен, что лог корректный.
    Кстати, сдури 1 раз после Киллера перезапустился - после нашел то же самое.
    Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.

  12. #11
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30
    Кстати - пустил уже с больного)

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Хорошо, но есть странности. У меня к Вам просьба. Еще раз запустите лечилку от ЛК, после чего перезагрузитесь и сделайте лог Gmer.
    Наша служба, будто сердце, отдыха не знает никогда.

  14. #13
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30
    С точностью до тогоже самого - до перезагрузки, вроде пускает, после - на круги своя. Пока опять от КЛ не запустишь. Лог ГМЕР выкладываю, может и КЛ приложить?
    Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Ага, все ясно! Давайте последний лог Gmer.
    Наша служба, будто сердце, отдыха не знает никогда.

  16. #15
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30
    Уже) Сорри - здесь НЕТ значительно медленне - поторопился, с непривычки. Лог в сообщении выше.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('wuausvc');
     QuarantineFile('C:\WINDOWS\system32\fcfaf.dll','');
     DeleteFile('C:\WINDOWS\system32\fcfaf.dll');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc','Description');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('wuausvc');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=41914

    3. Повторите лог Gmer.
    Наша служба, будто сердце, отдыха не знает никогда.

  18. #17
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30
    Сделано, выкладываю карантин, на всякий - лог по 3 приложению.

    Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Логи AVZ пока не нужны. Давайте лог Gmer и не забудьте загрузить карантин.

    Добавлено через 6 минут

    Очень хорошо! Карантин у нас. В нем новая версия червя Kido, которая пока не определяется антивирусами. Значит ночь прошла не зря.
    Последний раз редактировалось Aleksandra; 18.03.2009 в 03:35. Причина: Добавлено
    Наша служба, будто сердце, отдыха не знает никогда.

  20. #19
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    30
    Выкладываю - карантин должен быть на месте.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Выполните скрипт в AVZ:

    Код:
    begin
     DeleteService('wuausvc');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc','Description');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc');
     BC_DeleteSvc('wuausvc');
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите лог Gmer.
    Наша служба, будто сердце, отдыха не знает никогда.

  • Уважаемый(ая) Sibirian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Поймали lockdir.exe
      От RGA в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.02.2012, 12:12
    2. Поймали троян :(
      От vgm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.11.2011, 19:18
    3. поймали nssm.exe
      От sirius в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 17.11.2009, 07:57
    4. Поймали вирус
      От CracK_BnG в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.10.2009, 01:04
    5. Поймали порнобаннер
      От Jook в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.08.2009, 21:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00363 seconds with 20 queries