Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Поймали трояна. (заявка № 41914)

  1. #1
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57

    Exclamation Поймали трояна.

    Доброго вечера,
    вирус блокирует многие функции, HJK виснет вглухую, делаю логи согласно Правилам, вот только выкладываю через флешку - на сайт не пускает.

    Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\Documents and Settings\qwe\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
     QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
     QuarantineFile('c:\windows\system32\com\smss.exe','');
     QuarantineFile('c:\windows\system32\com\lsass.exe','');
     QuarantineFile('C:\WINDOWS\system32\AntiTool.exe','');
     DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
     DeleteFile('c:\windows\system32\com\lsass.exe');
     DeleteFile('c:\windows\system32\com\smss.exe');
     DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
     DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
     DeleteFile('C:\WINDOWS\system32\dnsq.dll');
     DeleteFile('C:\pagefile.pif');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\NetApi000.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
     DeleteFile('C:\037589.log');
     DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
     DeleteFileMask('c:\', 'lsass.exe.*', false);
     DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
     DeleteFile('C:\Documents and Settings\qwe\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\fasd621.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
    BC_ImportALL;
     BC_DeleteSvc('kbd');
     BC_DeleteSvc('Schedule');
     BC_DeleteSvc('AudioSrvHidServ');
     BC_DeleteSvc('Googles Onlines Search Services');
    ExecuteSysClean;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
     ExecuteRepair(1); 
     ExecuteRepair(6);
     ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=41914
    Повторите логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Выполнено.

    Высылаю логи и карантин. По-прежнему с флешки - напрямую с сайтом соединиться не могу - выдает ошибку. И винт работает постоянно...

    Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
     DeleteFile('C:\WINDOWS\system32\dnsq.dll');
     DeleteFile('crypts.dll');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_DeleteSvc('qandr');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Выполнил.

    Логи выкладываю, запустился HJK - выкладываю...
    После выполнения скрипта опять дисконнект с "Вирусинфо" - запустил АВИРУ - так каждые 15 сек ругань на Crypt.DX.3 из c:/windows/msacm32.drv...

    Жду инструкций. Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Не нравится мне вот этот файл C:\WINDOWS\system32\fcfaf.dll и еще больше вот это:

    O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
    O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
    Пока сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Благополучно послал меня Gmer... На 2-3 сек появляется и гаснет... На сайт не пускает, АВИРУ обновить не дает... Но при всем при этом, к примеру, Рамблер грузит исправно. Мдя...

    Алексей.

    Добавлено через 1 минуту

    А как провода надоело туда-сюда - системника 2, а вот перефирии ((
    Последний раз редактировалось Sibirian; 18.03.2009 в 01:33. Причина: Добавлено

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Попробуйте это http://virusinfo.info/showthread.php?t=41675
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Скачал, переключаю шнуры.
    Спс, что не спите)

    Алексей.

  11. #10
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    После KKiller (выдал 2 сообщения об убийстве в svchost.exe - PID 960) запустился Gmer. Выкладываю 2 лога - просто неожиданно сразу в первый раз пошел, не уверен, что лог корректный.
    Кстати, сдури 1 раз после Киллера перезапустился - после нашел то же самое.
    Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.

  12. #11
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Кстати - пустил уже с больного)

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Хорошо, но есть странности. У меня к Вам просьба. Еще раз запустите лечилку от ЛК, после чего перезагрузитесь и сделайте лог Gmer.
    Сердце решает кого любить... Судьба решает с кем быть...

  14. #13
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    С точностью до тогоже самого - до перезагрузки, вроде пускает, после - на круги своя. Пока опять от КЛ не запустишь. Лог ГМЕР выкладываю, может и КЛ приложить?
    Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Ага, все ясно! Давайте последний лог Gmer.
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Уже) Сорри - здесь НЕТ значительно медленне - поторопился, с непривычки. Лог в сообщении выше.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('wuausvc');
     QuarantineFile('C:\WINDOWS\system32\fcfaf.dll','');
     DeleteFile('C:\WINDOWS\system32\fcfaf.dll');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc','Description');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('wuausvc');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=41914

    3. Повторите лог Gmer.
    Сердце решает кого любить... Судьба решает с кем быть...

  18. #17
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Сделано, выкладываю карантин, на всякий - лог по 3 приложению.

    Алексей.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Логи AVZ пока не нужны. Давайте лог Gmer и не забудьте загрузить карантин.

    Добавлено через 6 минут

    Очень хорошо! Карантин у нас. В нем новая версия червя Kido, которая пока не определяется антивирусами. Значит ночь прошла не зря.
    Последний раз редактировалось Aleksandra; 18.03.2009 в 03:35. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  20. #19
    Junior Member Репутация
    Регистрация
    03.03.2009
    Адрес
    Воронеж
    Сообщений
    222
    Вес репутации
    57
    Выкладываю - карантин должен быть на месте.
    Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Выполните скрипт в AVZ:

    Код:
    begin
     DeleteService('wuausvc');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc','Description');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc');
     BC_DeleteSvc('wuausvc');
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите лог Gmer.
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) Sibirian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Поймали lockdir.exe
      От RGA в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.02.2012, 12:12
    2. Поймали троян :(
      От vgm в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.11.2011, 19:18
    3. поймали nssm.exe
      От sirius в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 17.11.2009, 07:57
    4. Поймали вирус
      От CracK_BnG в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.10.2009, 01:04
    5. Поймали порнобаннер
      От Jook в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.08.2009, 21:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00134 seconds with 19 queries