Показано с 1 по 12 из 12.

Кто-то поселился и тихо проживает (заявка № 47394)

  1. #1
    Junior Member Репутация
    Регистрация
    27.04.2008
    Сообщений
    12
    Вес репутации
    59

    Thumbs up Кто-то поселился и тихо проживает

    Добрый день, уважаемые helper_ы! В один прекрасный момент перестал корректно работать DrWeb 5, я его своевременно обновлял вроде. Не долго думая я его снес (правда пришлось помучаться, т.к. при стандартном удалении он просил отключить самозащиту, которая при наборе требуемой комбинации символов не отключалась, я конечно в душе разработчиков поругал, но оказывается зря, видимо кто-то завелся и погрыз Доктора). Скачал с досады ознакомительную версию Avira, поставил, но.... она не запускается, тогда-то я и всполошился. На данный момент: Dr.Web CureIt в безопасном режиме нашел пару троянов(удалил), regedit не запускается, AVZ и HiJackThis без переименования тоже не запускаются. Посмотрите пож. логи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\Program Files\DU Meter\DUMeter.exe','');
     QuarantineFile('C:\Documents and Settings\Dom\Dom.exe','');
     DeleteService('securentm');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteService('port135sik');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     DeleteService('fips32cup');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     DeleteService('acpi32');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
    ExecuteRepair(9);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    27.04.2008
    Сообщений
    12
    Вес репутации
    59
    Скрипт выполнил: regedit запускается, AVZ и HiJackThis без переименования тоже запускаются. Карантин выслал.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы.
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmasrv.exe','');
     BC_DeleteSvc('FastUserSwitchingCompatibilitySSDPSRV');
     QuarantineFile('C:\WINDOWS\system32\acelpdecj.exe','');
    DelCLSID('45AC2688-0253-4ED8-97DE-B5370FA7D48A');
     QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
     DeleteFile('C:\Documents and Settings\Dom\Dom.exe');
     DeleteFile('C:\WINDOWS\system32\acelpdecj.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
    Читайте: http://virusinfo.info/showpost.php?p=386579&postcount=1
    Установите Adobe Acrobat Reader 9.1 или удалите старый.
    Обновите Java.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Замените файл C:\WINDOWS\system32\userinit.exe на этот: http://virusinfo.info/attachment.php...7&d=1228217426 или на соответствующий файл из дистрибутива WINDOWS XP.

  7. #6
    Junior Member Репутация
    Регистрация
    27.04.2008
    Сообщений
    12
    Вес репутации
    59
    Ok. Всё выполнил.
    Вложения Вложения
    Последний раз редактировалось lvmz; 07.06.2009 в 16:51.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Userinit.exe так и остался патченный.
    Просто так заменить его вам система не даст. Нужно сделать так: имеющийся файл переименовать, новый записать и перезагрузиться. Потом удалить старый переименованный.

    Также необходимо выполнить это:
    http://virusinfo.info/showthread.php?t=43700.

    И еще рекомендую удалить программу Target Marketing Agency, это adware.

    После всего этого сделайте новый лог syscheck (п.2 Диагностики).
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    27.04.2008
    Сообщений
    12
    Вес репутации
    59
    Выполнил.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Теперь все чисто.
    Какие-то проблемы остались?
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    27.04.2008
    Сообщений
    12
    Вес репутации
    59
    Проблем нет. Все заработало в штатном режиме. Спасибо всем Вам ! Так все-таки троян сидел? Как он смог через DrWeb пролезть?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Да, все-таки троян...
    Если бы DrWeb или какой-то другой антивирус обеспечивал 100% защиту, то нам бы тут нечего было бы делать. Увы, это невозможно.
    I am not young enough to know everything...

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\common files\target marketing agency\tmagent\tmagent.dll - not-a-virus:AdWare.Win32.TMAagent.r ( BitDefender: Gen:Adware.Heur.6408F75555 )
      2. c:\windows\system32\userinit.exe - Trojan-Mailfinder.Win32.Agent.aay ( DrWEB: Trojan.MulDrop.31931 )


  • Уважаемый(ая) lvmz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Кто-то поселился и не даёт ничего сделать
      От A.yeH4uk в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.07.2010, 11:09
    2. z-connect поселился :(
      От john555 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.11.2009, 18:19
    3. Кто-то поселился: CMD.EXE, taskkill?
      От dlenacsm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.07.2009, 21:14
    4. HELP кто-то поселился в с-ме
      От Chefachi в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.06.2009, 10:45
    5. Поселился DownLoader
      От Arcand в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 03:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00029 seconds with 20 queries