Показано с 1 по 12 из 12.

Кто-то поселился и тихо проживает (заявка № 47394)

  1. #1
    Junior Member Репутация
    Регистрация
    27.04.2008
    Сообщений
    12
    Вес репутации
    32

    Thumbs up Кто-то поселился и тихо проживает

    Добрый день, уважаемые helper_ы! В один прекрасный момент перестал корректно работать DrWeb 5, я его своевременно обновлял вроде. Не долго думая я его снес (правда пришлось помучаться, т.к. при стандартном удалении он просил отключить самозащиту, которая при наборе требуемой комбинации символов не отключалась, я конечно в душе разработчиков поругал, но оказывается зря, видимо кто-то завелся и погрыз Доктора). Скачал с досады ознакомительную версию Avira, поставил, но.... она не запускается, тогда-то я и всполошился. На данный момент: Dr.Web CureIt в безопасном режиме нашел пару троянов(удалил), regedit не запускается, AVZ и HiJackThis без переименования тоже не запускаются. Посмотрите пож. логи.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\Program Files\DU Meter\DUMeter.exe','');
     QuarantineFile('C:\Documents and Settings\Dom\Dom.exe','');
     DeleteService('securentm');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteService('port135sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     DeleteService('fips32cup');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     DeleteService('acpi32');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
    ExecuteRepair(9);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    27.04.2008
    Сообщений
    12
    Вес репутации
    32
    Скрипт выполнил: regedit запускается, AVZ и HiJackThis без переименования тоже запускаются. Карантин выслал.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmasrv.exe','');
     BC_DeleteSvc('FastUserSwitchingCompatibilitySSDPSRV');
     QuarantineFile('C:\WINDOWS\system32\acelpdecj.exe','');
    DelCLSID('45AC2688-0253-4ED8-97DE-B5370FA7D48A');
     QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
     DeleteFile('C:\Documents and Settings\Dom\Dom.exe');
     DeleteFile('C:\WINDOWS\system32\acelpdecj.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
    Читайте: http://virusinfo.info/showpost.php?p=386579&postcount=1
    Установите Adobe Acrobat Reader 9.1 или удалите старый.
    Обновите Java.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Замените файл C:\WINDOWS\system32\userinit.exe на этот: http://virusinfo.info/attachment.php...7&d=1228217426 или на соответствующий файл из дистрибутива WINDOWS XP.

  7. #6
    Junior Member Репутация
    Регистрация
    27.04.2008
    Сообщений
    12
    Вес репутации
    32
    Ok. Всё выполнил.
    Вложения Вложения
    Последний раз редактировалось lvmz; 07.06.2009 в 16:51.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Userinit.exe так и остался патченный.
    Просто так заменить его вам система не даст. Нужно сделать так: имеющийся файл переименовать, новый записать и перезагрузиться. Потом удалить старый переименованный.

    Также необходимо выполнить это:
    http://virusinfo.info/showthread.php?t=43700.

    И еще рекомендую удалить программу Target Marketing Agency, это adware.

    После всего этого сделайте новый лог syscheck (п.2 Диагностики).
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    27.04.2008
    Сообщений
    12
    Вес репутации
    32
    Выполнил.
    Вложения Вложения

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Теперь все чисто.
    Какие-то проблемы остались?
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    27.04.2008
    Сообщений
    12
    Вес репутации
    32
    Проблем нет. Все заработало в штатном режиме. Спасибо всем Вам ! Так все-таки троян сидел? Как он смог через DrWeb пролезть?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Да, все-таки троян...
    Если бы DrWeb или какой-то другой антивирус обеспечивал 100% защиту, то нам бы тут нечего было бы делать. Увы, это невозможно.
    I am not young enough to know everything...

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,519
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\common files\target marketing agency\tmagent\tmagent.dll - not-a-virus:AdWare.Win32.TMAagent.r ( BitDefender: Gen:Adware.Heur.6408F75555 )
      2. c:\windows\system32\userinit.exe - Trojan-Mailfinder.Win32.Agent.aay ( DrWEB: Trojan.MulDrop.31931 )


  • Уважаемый(ая) lvmz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Кто-то поселился и не даёт ничего сделать
      От A.yeH4uk в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.07.2010, 11:09
    2. z-connect поселился :(
      От john555 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.11.2009, 18:19
    3. Кто-то поселился: CMD.EXE, taskkill?
      От dlenacsm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.07.2009, 21:14
    4. HELP кто-то поселился в с-ме
      От Chefachi в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.06.2009, 10:45
    5. Поселился DownLoader
      От Arcand в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 03:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01449 seconds with 23 queries