Показано с 1 по 16 из 16.

Помогите доудалять трояны (заявка № 46283)

  1. #1
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    22
    Вес репутации
    29

    Помогите доудалять трояны

    Здравствуйте!

    В моём компьютере (по нему, в соответствии с правилами, я создам отдельную тему) обнаружились трояны, поэтому я решил проверить и компьютер жены (по нему эта тема).

    1. Касперский (6.0.2.621) в ходе полной проверки ничего не нашёл.
    2. Полная проверка Dr.Web CureIt нашла (и удалила):
    - в одном из файлов в Temporary Internet Files - Win32.HLLW.Shadow.based,
    - в файлах в C:\Windows\System 32 - Trojan.Packed.162 и Win32.HLLW.Shadow.based.

    До проверки Dr.Web CureIt с этого компьютера не получалось обновить антивирусные базы Касперского - он писал "Ошибка разрешения DNS имени", а также зайти на антивирусные сайты (включая сайт dr.web и virusinfo) или скачать антивирусы (напр. последнюю версию Dr.Web CureIt (с любых сайтов, а не только с официального сайта Dr.Web) или обновления к AVZ). После проверки и удаления указанных выше троянов все сайты стали доступны.

    3. Проверка AVZ (эвристический анализатор) обнаружила в файле C:\Windows\System32\poradq.exe - Trojan.WinCrash. Предлагает послать файл на исследование, файл я не удалял.

    К сообщению, как и положено, прикрепляю три лога.

    Заранее большое спасибо за помощь!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [Windows Service Agent] poradq.exe
    O4 - HKLM\..\RunServices: [Windows Service Agent] poradq.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\ryfunt.exe','');
     DeleteFile('C:\WINDOWS\System32\ryfunt.exe');
     QuarantineFile('c:\windows\system32\poradq.exe','');
     DeleteFile('c:\windows\system32\poradq.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=46283).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    22
    Вес репутации
    29
    Написав первое сообщение, я ещё раз запустил AVP, с сегодняшними базами, он определил poradq.exe как вирус и удалил его (поместив в карантин). Поэтому в HijackThis указанных строчек уже не было, также я убрал из скрипта две строчки про poradq.exe. Но если файл нужен для анализа, то я могу восстановить его из карантина AVP.

    При выполнении скрипта компьютер сам не перезагрузился - explorer выключился, остались только обои рабочего стола. Я подождал минут 5 (думая, что, может быть, AVZ что-то делает в фоновом режиме), ничего не менялось, я нажал Reset. Я правильно сделал?

    Карантин выслал.

    Сейчас сделаю диагностику и добавлю новые логи.

    Но мне кажется, что удалить трояны пока не получилось... Всё время присутствует какая-то сетевая активность, причём отправляется (sent) значительно больше, чем приходит (received). За то время, что я пишу это сообщение (пара минут) уже отправилось 3-4 мегабайта, при этом я ни на какие веб-страницы не захожу. Такая сетевая активность и вызвала у меня первоначальное подозрение о наличии троянов или вирусов... Ещё в Task Manager'е появился какой-то процесс rekey.exe из файла c:\windows\system32\rekey.exe, который, согласно свойствам, создан несколько минут назад.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ждем логи. Только пожалуйста не надо больше самодеятельности.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    22
    Вес репутации
    29
    Вот логи. Минут за 10 с компьютера отправилось ещё мегабайт 8-10...

    Только пожалуйста не надо больше самодеятельности.
    Сорри...
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\System32\ReKey.exe','');
     QuarantineFile('C:\WINDOWS\Fonts\unwise_.exe','');
     DeleteFile('C:\WINDOWS\Fonts\unwise_.exe');
     DeleteFile('C:\WINDOWS\System32\ReKey.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Windows Hosts Controller');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    22
    Вес репутации
    29
    Выполнил скрипт.

    Но компьютер опять не перезагрузился сам! То есть explorer выключился, на Ctrl + Alt + Del не реагировал, остались только обои на рабочем столе - но перезагрузки не происходило. Пришлось после минут 10 ожидания нажать Reset.

    После перезагрузки я сделал логи, Интернет включался, но на VirusInfo зайти не получалось (как в самом начале)... Я перезагрузился в Safe mode, запустил Dr.Web CureIt в быстром режиме, он нашёл "C:\Windows\System32\zvwkrx.dll инфицирован Win32.HLLW.Shadow.based - удален" и перезагрузился.

    После этого удалось выйти в Интернет и зайти на VirusInfo. Вот сейчас послал карантин и прикрепляю логи...

    Мда... Что-то не весело.
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    22
    Вес репутации
    29
    Вот, смотрю в Task Manager опять появился посторонний процесс (какой-то cgxjhki.exe), по сети постоянно идёт трафик (в основном исходящий).

    Может быть, мне создать Dr.Web LiveCD, загрузиться с него и снова провести полную проверку? Или не поможет, если я его буду создавать на заражённом компьютере?

    Добавлено через 1 час 16 минут

    Подскажите, пожалуйста, что мне делать дальше?.. Меньше чем за час исходящий трафик составил около 50 Мб - хотя я никуда не заходил, кроме этого сайта. И что он там рассылает - спам что ли? Или DDOS-атаки ведёт какие-то? У меня безлимитка, так что трафика как такового не жалко, но это же просто разгул вирусов какой-то...
    Последний раз редактировалось AKayumov; 22.05.2009 в 12:04. Причина: Добавлено

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Что-то мы не поспеваем, каждый раз что-то новенькое. Последние логи в принципе чистые, но судя по следующему посту, опять подхватили заразу. Впрочем, с такой системой неудивительно:
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Обновляйте систему до SP3+, иначе толку не будет.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    22
    Вес репутации
    29
    Мне кажется, вряд ли это что-то новое, - я даже не подключался к Интернету, а новые экземпляры уже снова появлялись в Task Manager'е и на диске - значит, это та же самая гадость, которая не до конца удаляется...

    IE я не пользуюсь, у меня Опера (точнее, у жены, это её комп). На моём компе стоит Windows XP c SP2, там, похоже, то же самое...

    Вопросы:
    - Стоит ли пытаться на заражённой системе ставить сейчас сервис-паки? Что мне сейчас лучше делать - с загрузочного CD или DVD проводить полное сканирование или же на Windows SP ставить? Подскажите, что дальше делать...
    - Как вы думаете, почему компьютер может не выключаться и не перезагружаться? Если я его вручную выключаю, он тоже (как и при перезагрузке при помощи AVZ) не полностью выключается, а только Explorer выгружает.
    - Я прочитал несколько соседних жалоб, похоже, не у меня одного такие симптомы - невозможность зайти на антивирусные сайты, исходящий трафик. Может, это какая-то новая гадость? Нет сейчас какой-нибудь "эпидемии"?

    Спасибо за помощь...

  12. #11
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    22
    Вес репутации
    29
    На всякий случай снова сделал логи. Мне там кажутся подозрительными только что появившаяся C:\WINDOWS\System32\cgxjkhi.exe и C:\WINDOWS\Fonts\unwise_.exe...

    unwise_.exe мы с вами уже удаляли - откуда он снова взялся... Может быть, Boot Cleaner не работает, раз компьютер некорректно выключается (т.е. сам не выключается, а только по reset'у)?


    Т.к. этот unwise_.exe повторяется, то может это тело трояна, которое и создаёт копии? Может на него AVP или CureIt натравить прицельно?
    Вложения Вложения
    Последний раз редактировалось AKayumov; 22.05.2009 в 13:19.

  13. #12
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    22
    Вес репутации
    29
    Ещё вопрос. А не может быть заражён модем?

    Дело в том, что мой компьютер и компьютер жены были подключены к Интернету через ADSL-роутер с встроенным firewall'ом, но роутер сломался (вздулись конденсаторы). Позавчера я взял у отца его ADSL-модем. Вышел через него в Интернет со своего компьютера и с компьютера жены. После этого на них появились вирусы со схожими симптомами (у меня тоже есть файл unwise_.exe, тоже идёт исходящий трафик, если подключить Интернет). Отец говорит, что у него тоже был такой паразитный исходящий трафик. Кроме ADSL-модема с компьютером отца я никак не контактировал (ни с флэшкой, ни с дискетой, ни по почте)... Вроде бы я слышал, что появились вирусы, заражающие модемы...

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Давайте попробуем удалить этот C:\WINDOWS\Fonts\unwise_.exe с помощью Ice Sword, как описано здесь: http://virusinfo.info/showthread.php?t=17228. После этого сразу же, не перезагружаясь, пофиксите в HijackThis
    Код:
    O4 - HKLM\..\Run: [Windows LoL Layer] cgxjkhi.exe
    O4 - HKLM\..\RunServices: [Windows LoL Layer] cgxjkhi.exe
    и выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\cgxjkhi.exe','');
     QuarantineFile('C:\WINDOWS\Fonts\unwise_.exe','');
     DeleteFile('C:\WINDOWS\Fonts\unwise_.exe');
     DeleteFile('C:\WINDOWS\System32\cgxjkhi.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    23.01.2009
    Сообщений
    22
    Вес репутации
    29
    Всё выполнил, unwise_.exe удалился. Вроде пока всё нормально... Загрузил логи.

    А вы не могли бы подсказать, какой программой можно отслеживать, какой процесс посылает/принимает данные по сети? Вдруг через некоторое время начнётся снова несанкционированная сетевая активность?
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    А вы не могли бы подсказать, какой программой можно отслеживать, какой процесс посылает/принимает данные по сети?
    Kaspersky Internet Security отлично с этим справляется.

    Выполните скрипт

    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteService('Windows Hosts Controller');
     DeleteFile('C:\WINDOWS\Fonts\unwise_.exe');
    BC_ImportDeletedList;
     BC_DeleteSvc('Windows Hosts Controller');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пункт 2 диагностики повторите.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,526
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\fonts\unwise_.exe - Net-Worm.Win32.Kolabc.gpe ( DrWEB: Win32.HLLW.Piabot.3, BitDefender: Packer.Yoda.A )
      2. c:\windows\system32\rekey.exe - Packed.Win32.Black.a ( DrWEB: Trojan.Packed.650, BitDefender: DeepScan:Generic.Sdbot.AAE37850 )
      3. c:\windows\system32\ryfunt.exe - Trojan.Win32.Midgare.wrr ( BitDefender: Trojan.Generic.1633095 )


  • Уважаемый(ая) AKayumov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите, трояны!
      От RE$PECT в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:46
    2. трояны помогите плиз
      От morrock в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 04:20
    3. Rootkit, трояны. помогите.
      От Dixi в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:35
    4. Трояны и т.д. Помогите!
      От Pavel207 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.09.2008, 13:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01275 seconds with 22 queries