Показано с 1 по 7 из 7.

Возможно Вирус или троян!? (заявка № 42624)

  1. #1
    Junior Member Репутация
    Регистрация
    26.03.2009
    Сообщений
    3
    Вес репутации
    29

    Exclamation Возможно Вирус или троян!?

    Скачал кейген, запустил. Ничего не произошло, я файл удалил. Затем после презагрузки, стали появляться 5 одинаковых окошек, стилизованные под строку поиска с кнопкой Search. При нажатии на которую появляется серийный номер. Данные окна спокойно закрываются, процесс виден в диспечере задач, но избавиться от автозагрузки не получается. Папка Windows стала скрытой, в безопасном режиме она видна, но атрибуты изменить нельзя. Операционка XP SP3, установлен DR. Web 5.0.
    Надеюсь на помощь.
    Юрий.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от lordx Посмотреть сообщение
    Скачал кейген, запустил..
    А проверить его на вирусы слабо было...

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 200710.exe');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 20076.exe');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 20077.exe');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 20078.exe');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 20079.exe');
     QuarantineFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 200710.exe','');
     QuarantineFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20076.exe','');
     QuarantineFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20077.exe','');
     QuarantineFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20078.exe','');
     QuarantineFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20079.exe','');
     QuarantineFile('C:\WINDOWS\wcsntfy.exe','');
     QuarantineFile('C:\WINDOWS\wnmdss.exe','');
     QuarantineFile('C:\WINDOWS\acls.exe','');
     DeleteFile('C:\WINDOWS\acls.exe');
     DeleteFile('C:\WINDOWS\wnmdss.exe');
     DeleteFile('C:\WINDOWS\wcsntfy.exe');
     DeleteFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20079.exe');
     DeleteFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20078.exe');
     DeleteFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20077.exe');
     DeleteFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20076.exe');
     DeleteFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 200710.exe');
     DelCLSID('{37ONGN0A-22JM-W6UK-FMRM-IO6F84XAKXW2}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    26.03.2009
    Сообщений
    3
    Вес репутации
    29
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А проверить его на вирусы слабо было...
    Естественно проверял. Dr.Web ничего не нашел.

    Выполнил как написано. Логи прилеплены. ПОсле выполнения скрипта окошек загрузилось 2, после сбора логов и перезагрузки перед отправкой их стало 6.


    Файл сохранён как 090327_011158_quarantine_49cbfdae9e7a6.zip
    Размер файла 2773353
    MD5 2ddc6466460ce40010171f0b91e849d9

    Карантин Получен?

    Повтроил скрипт. Помогло. Огромный респект.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 27.03.2009 в 11:53.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Metric.exe_ - Trojan-Downloader.Win32.Dadobra.cdk,
    wnmdss.exe_ - Trojan.Win32.Agent.bxlk


    Откуда у Вас эта программа?
    C:\Program Files\Iskra TV\Metric.exe

    Выполнить сначала это: http://virusinfo.info/showthread.php?t=15927

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [Windows Security Center] C:\WINDOWS\wnmdss.exe
    O4 - HKLM\..\Run: [Windows Service Center] C:\WINDOWS\wnmdss.exe
    O4 - HKLM\..\Run: [Microsoft System Tray] C:\WINDOWS\wnmdss.exe

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('{37ONGN0A-22JM-W6UK-FMRM-IO6F84XAKXW2}');
     QuarantineFile('C:\WINDOWS\wnmdss.exe','');
     QuarantineFile('c:\docume~1\lord\locals~1\temp\office 20079.exe','');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 20079.exe');
     QuarantineFile('c:\docume~1\lord\locals~1\temp\office 200722.exe','');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 200722.exe');
     QuarantineFile('c:\docume~1\lord\locals~1\temp\office 200721.exe','');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 200721.exe');
     QuarantineFile('c:\docume~1\lord\locals~1\temp\office 200710.exe','');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 200710.exe');
     DeleteFile('c:\docume~1\lord\locals~1\temp\office 200710.exe');
     DeleteFile('c:\docume~1\lord\locals~1\temp\office 200721.exe');
     DeleteFile('c:\docume~1\lord\locals~1\temp\office 200722.exe');
     DeleteFile('c:\docume~1\lord\locals~1\temp\office 20079.exe');
     DeleteFile('C:\WINDOWS\wnmdss.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    26.03.2009
    Сообщений
    3
    Вес репутации
    29
    [quote=Rene-gad;378547]Metric.exe_ - Trojan-Downloader.Win32.Dadobra.cdk,
    wnmdss.exe_ - Trojan.Win32.Agent.bxlk


    Откуда у Вас эта программа?
    C:\Program Files\Iskra TV\Metric.exe

    Взято из локалки, для настройки цифрового тв. Я эту прогу уже снес.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Повторите логи.
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,526
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 25
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\iskra tv\metric.exe - Trojan-Downloader.Win32.Dadobra.cdk
      2. c:\windows\acls.exe - Trojan.Win32.Agent.bxlk
      3. c:\windows\wcsntfy.exe - Trojan.Win32.Agent.bxlk
      4. c:\windows\wnmdss.exe - Trojan.Win32.Agent.bxlk


  • Уважаемый(ая) lordx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. возможно троян
      От kampot в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 11.11.2011, 00:23
    2. Ответов: 4
      Последнее сообщение: 05.03.2011, 13:53
    3. Возможно троян
      От Aleksey21 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.12.2010, 06:43
    4. Возможно троян.
      От maxy plus в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.06.2009, 15:36
    5. Возможно троян.
      От Гэлторн в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.04.2007, 07:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00037 seconds with 22 queries