Показано с 1 по 7 из 7.

Возможно Вирус или троян!? (заявка № 42624)

  1. #1
    Junior Member Репутация
    Регистрация
    26.03.2009
    Сообщений
    3
    Вес репутации
    55

    Exclamation Возможно Вирус или троян!?

    Скачал кейген, запустил. Ничего не произошло, я файл удалил. Затем после презагрузки, стали появляться 5 одинаковых окошек, стилизованные под строку поиска с кнопкой Search. При нажатии на которую появляется серийный номер. Данные окна спокойно закрываются, процесс виден в диспечере задач, но избавиться от автозагрузки не получается. Папка Windows стала скрытой, в безопасном режиме она видна, но атрибуты изменить нельзя. Операционка XP SP3, установлен DR. Web 5.0.
    Надеюсь на помощь.
    Юрий.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от lordx Посмотреть сообщение
    Скачал кейген, запустил..
    А проверить его на вирусы слабо было...

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 200710.exe');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 20076.exe');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 20077.exe');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 20078.exe');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 20079.exe');
     QuarantineFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 200710.exe','');
     QuarantineFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20076.exe','');
     QuarantineFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20077.exe','');
     QuarantineFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20078.exe','');
     QuarantineFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20079.exe','');
     QuarantineFile('C:\WINDOWS\wcsntfy.exe','');
     QuarantineFile('C:\WINDOWS\wnmdss.exe','');
     QuarantineFile('C:\WINDOWS\acls.exe','');
     DeleteFile('C:\WINDOWS\acls.exe');
     DeleteFile('C:\WINDOWS\wnmdss.exe');
     DeleteFile('C:\WINDOWS\wcsntfy.exe');
     DeleteFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20079.exe');
     DeleteFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20078.exe');
     DeleteFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20077.exe');
     DeleteFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 20076.exe');
     DeleteFile('C:\DOCUME~1\Lord\LOCALS~1\Temp\OFFICE 200710.exe');
     DelCLSID('{37ONGN0A-22JM-W6UK-FMRM-IO6F84XAKXW2}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    26.03.2009
    Сообщений
    3
    Вес репутации
    55
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А проверить его на вирусы слабо было...
    Естественно проверял. Dr.Web ничего не нашел.

    Выполнил как написано. Логи прилеплены. ПОсле выполнения скрипта окошек загрузилось 2, после сбора логов и перезагрузки перед отправкой их стало 6.


    Файл сохранён как 090327_011158_quarantine_49cbfdae9e7a6.zip
    Размер файла 2773353
    MD5 2ddc6466460ce40010171f0b91e849d9

    Карантин Получен?

    Повтроил скрипт. Помогло. Огромный респект.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 27.03.2009 в 11:53.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Metric.exe_ - Trojan-Downloader.Win32.Dadobra.cdk,
    wnmdss.exe_ - Trojan.Win32.Agent.bxlk


    Откуда у Вас эта программа?
    C:\Program Files\Iskra TV\Metric.exe

    Выполнить сначала это: http://virusinfo.info/showthread.php?t=15927

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [Windows Security Center] C:\WINDOWS\wnmdss.exe
    O4 - HKLM\..\Run: [Windows Service Center] C:\WINDOWS\wnmdss.exe
    O4 - HKLM\..\Run: [Microsoft System Tray] C:\WINDOWS\wnmdss.exe

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('{37ONGN0A-22JM-W6UK-FMRM-IO6F84XAKXW2}');
     QuarantineFile('C:\WINDOWS\wnmdss.exe','');
     QuarantineFile('c:\docume~1\lord\locals~1\temp\office 20079.exe','');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 20079.exe');
     QuarantineFile('c:\docume~1\lord\locals~1\temp\office 200722.exe','');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 200722.exe');
     QuarantineFile('c:\docume~1\lord\locals~1\temp\office 200721.exe','');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 200721.exe');
     QuarantineFile('c:\docume~1\lord\locals~1\temp\office 200710.exe','');
     TerminateProcessByName('c:\docume~1\lord\locals~1\temp\office 200710.exe');
     DeleteFile('c:\docume~1\lord\locals~1\temp\office 200710.exe');
     DeleteFile('c:\docume~1\lord\locals~1\temp\office 200721.exe');
     DeleteFile('c:\docume~1\lord\locals~1\temp\office 200722.exe');
     DeleteFile('c:\docume~1\lord\locals~1\temp\office 20079.exe');
     DeleteFile('C:\WINDOWS\wnmdss.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    26.03.2009
    Сообщений
    3
    Вес репутации
    55
    [quote=Rene-gad;378547]Metric.exe_ - Trojan-Downloader.Win32.Dadobra.cdk,
    wnmdss.exe_ - Trojan.Win32.Agent.bxlk


    Откуда у Вас эта программа?
    C:\Program Files\Iskra TV\Metric.exe

    Взято из локалки, для настройки цифрового тв. Я эту прогу уже снес.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 25
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\iskra tv\metric.exe - Trojan-Downloader.Win32.Dadobra.cdk
      2. c:\windows\acls.exe - Trojan.Win32.Agent.bxlk
      3. c:\windows\wcsntfy.exe - Trojan.Win32.Agent.bxlk
      4. c:\windows\wnmdss.exe - Trojan.Win32.Agent.bxlk


  • Уважаемый(ая) lordx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. возможно троян
      От kampot в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 11.11.2011, 00:23
    2. Ответов: 4
      Последнее сообщение: 05.03.2011, 13:53
    3. Возможно троян
      От Aleksey21 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.12.2010, 06:43
    4. Возможно троян.
      От maxy plus в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.06.2009, 15:36
    5. Возможно троян.
      От Гэлторн в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.04.2007, 07:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00908 seconds with 18 queries