Показано с 1 по 10 из 10.

Неизвестный троян/вирус (заявка № 50391)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    6
    Вес репутации
    27

    Question Неизвестный троян/вирус

    Здравствуйте. Помогите пожалуйста решить проблему.
    Все началось с отключения антивирусного монитора (то ли действием вируса или кого то из членов семьи). Заметил общее притормаживание системы и увеличение сетевого трафика. В файрволле обнаружил большое количество постоянно возобновляемых (раз в 3 секунды) исходящих NetBIOS соединений. В общем решил проблему просто блокировкой всех NetBIOS соединений.
    Через пару дней, после перезагрузки компьютера, Windows стартовал, но без загруженной оболочки explorer.exe (т.е. видна только картинка рабочего стола). При попытке ручного вызова explorer.exe через диспетчер задач или totalcmd, выводится ошибка об отсутствии файла. Остальные программы, тот же файловый менеджер, вызываются без проблем.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Выполните скрипт в AVPTool в разделе ручное лечение.

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntsim.sys','');
     QuarantineFile('C:\WINDOWS\system32\RiSing.exe','');
     QuarantineFile('C:\WINDOWS\system32\k.exe','');
     QuarantineFile('C:\WINDOWS\system32\DuBa.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\register.sys','');
     QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
     QuarantineFile('C:\WINDOWS\System32\Common\smss.exe','');
     DeleteFile('C:\WINDOWS\System32\Common\smss.exe');
     DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\DuBa.exe');
     DeleteFile('C:\WINDOWS\system32\k.exe');
     DeleteFile('C:\WINDOWS\system32\RiSing.exe');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
     DelCLSID('E6FB5E20-DE35-11CF-9C87-00AA005127ED');
    BC_Importall;
     BC_DeleteSvc('ehResvc');
     BC_DeleteSvc('RiSingKaKa');
     BC_DeleteSvc('Kingk');
     BC_DeleteSvc('KingDuuBa');
    ExecuteSysClean;
     executerepair(9);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После этого выполните ещё один скрипт
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');
    end.
    Пришлите quarantine.zip по ссылке "Прислать запрошенный карантин". Карантин будет расположен в корне диска C:\ .

    Повторите лог AVPTool.
    Так же желательно сделайте лог HijackThis (ссылка на скачивание и что нужно делать в правилах)
    Последний раз редактировалось light59; 21.07.2009 в 19:30.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
    DelCLSID('E6FB5E20-DE35-11CF-9C87-00AA005127ED');
     QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
     QuarantineFile('C:\WINDOWS\System32\Common\smss.exe','');
    DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
     DeleteService('ehResvc');
     StopService('ehResvc');
     DeleteFile('C:\WINDOWS\System32\Common\smss.exe');
     DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
    ExecuteRepair(9);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи после перезагрузки.
    Загрузить карантин по Правилам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    6
    Вес репутации
    27
    Не первый, не второй скрипт не выполняется AVPTool выводит ошибку сбой при выполнении.
    Отправляю дополнительно лог HiJackThis.
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    6
    Вес репутации
    27
    При выполнении скриптов выводит ошибку "Cбой в задаче AVZ Scan". Но после ручной перезагрузки, оболочка винды все же загрузилась.
    Отправляю карантин и новый лог AVPTool.
    Вложения Вложения
    Последний раз редактировалось pig; 21.07.2009 в 19:59. Причина: Читайте в правилах, как карантин присылать

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Вы оба скрипта выполнили?
    - Очистите темп-папки, кэш проводников и корзину.
    Скачайте special avz по ссылке в моей подписи и сделайте 3 лога в соответствии с правилами.

  8. #7
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    6
    Вес репутации
    27
    Да, выполнил два скрипта, но как я говорил, выполнились они с ошибкой.
    Все временные файлы почистил. Логи в процессе.

  9. #8
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    6
    Вес репутации
    27
    Вот все логи. В файрволле NetBios соединения по прежнему постоянно появляются. В остальном система вроде нормально работает.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    6
    Вес репутации
    27
    Так как мне быть с Netbios соединениями? По логам у меня все чисто?

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,513
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) timecode, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 01.12.2009, 21:23
    2. Неизвестный троян
      От Ericc в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.06.2009, 23:53
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 05:09
    4. Неизвестный (уже известный) троян.
      От Goggy2 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    5. Неизвестный троян
      От Fedor Kilev в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 31.05.2008, 16:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01258 seconds with 23 queries