Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Alureon Trojan / Log Files now present!

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54

    Problem not resolved as originally thought!

    Originally ran yahoo anti spy and turned up alureon, droplet ew, and a few other infections. Computer began redirecting to websites and would not allow me to run either my anti virus or spyware / malware programs. Can't run Kaspersky AV, Malwarebytes, Spybot or any of a host of other diagnostic tools.
    Вложения Вложения
    Последний раз редактировалось shadedsoul; 22.07.2009 в 23:17.

  2. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Fix with Hijackthis
    Код:
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.101,85.255.112.113
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.101,85.255.112.113
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.101,85.255.112.113
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.101,85.255.112.113
    O22 - SharedTaskScheduler: {03413bf7-e34c-445b-bfc0-a2b127255871} - incestuously - (no file)
    Reboot your system, update the AVZ-Database (File/Database Update) and make 3 new logs.

  3. #3
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54
    New logs uploaded.
    Вложения Вложения
    Последний раз редактировалось shadedsoul; 24.07.2009 в 20:09.

  4. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от shadedsoul Посмотреть сообщение
    ran yahoo anti spy
    What a bullsh... did you use?
    - Start/Run..., copy & paste follow string:
    Код:
    edit %systemroot%\system32\drivers\etc\hosts
    press Enter, remove in the file all strings after 127.0.0.1 localhost.
    File/Close/Safe changings ...

    Any problem more?

  5. #5
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54
    Apparently the problem is still not resolved. Tried reinstalling Kaspersky. Once installation was complete, program would not run. Tried rebooting, computer would not reboot except for safe mode, or last known good configuration. Went back into dos to check on systemroot per last instructions and it seems they were not removed afterall. When I try to do so, I get the following message. "You cannot modify a read only file." How do I proceed to remove the files from this point? Also,I have attached new logs just in case.
    Вложения Вложения
    Последний раз редактировалось shadedsoul; 25.07.2009 в 17:11.

  6. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от shadedsoul Посмотреть сообщение
    Tried reinstalling Kaspersky.
    Why? Did it run wrong? Did you use Kavremover: http://support.kaspersky.com/faq/?qid=208279463 ?
    Went back into dos to check on systemroot per last instructions and it seems they were not removed afterall.
    Do you use any other tool besides KAV? Do you have administrator rights?

  7. #7
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54
    Had to remove read only and was able to remove items from systemroot.

    No other AV used. Using KAV 2009, so Kavremover is not necessary. Ran it anyway, but nothing was detected. After trying to reinstall KAV, system began redirecting again.

    Also forgot to mention earlier. The only way I could get HijackThis to run originally was by renaming the app. Renamed it Jack This and program loaded fine. Renamed it HijackThis and would not start.
    Последний раз редактировалось shadedsoul; 23.07.2009 в 02:16.

  8. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Try to check your system from CD or write-protected SDCard with CureIt from Dr.Web - possibly you have file viruses? The described from you behavior is extremely curious.

  9. #9
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54
    Will do. I have also attached the latest log files prior to running the scan.
    Вложения Вложения

  10. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Fix with Hijackthis
    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
    R3 - URLSearchHook: (no name) - {37D2CDBF-2AF4-44AA-8113-BD0D2DA3C2B8} - (no file)
    O4 - HKCU\..\Policies\Explorer\Run: [{382AC062-0AEF-1033-0802-050718200001}] "C:\Program Files\Common Files\{382AC062-0AEF-1033-0802-050718200001}\Update.exe" mc-110-12-0000272
    Remove KAV completely, let KAVREMOVER run.
    Reboot, download the last version of KAV, I suppose it should be just KAV2010, try to reinstall KAV,

  11. #11
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54
    Still no luck. Application installation runs. Appears to complete. Click on next to begin the application configuration wizard, and program will not load.

    Here are the latest logs.

    Dr. Web report follows:
    ctxad-437.0000\data002;C:\Documents and Settings\Owner\Application Data\APPATC~1\APPATC~1\ctxad-437.0000;Adware.ClickSpring;;
    ctxad-437.0000;C:\Documents and Settings\Owner\Application Data\APPATC~1\APPATC~1;Archive contains infected objects;Moved.;
    smitRem.exe\smitRem/Process.exe;C:\Documents and Settings\Owner\Desktop \smitRem.exe;Tool.Prockill;;
    smitRem.exe\smitRem/pv.exe;C:\Documents and Settings\Owner\Desktop\smitRem.exe;Program.PrcView .3741;;
    smitRem.exe;C:\Documents and Settings\Owner\Desktop;Archive contains infected objects;Moved.;
    pv.exe;C:\Documents and Settings\Owner\Desktop\smitRem;Program.PrcView.374 1;Incurable.Deleted.;
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 23.07.2009 в 23:07. Причина: quarantine removed

  12. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Execute following script
    Код:
    begin
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    After reboot
    - Repeat a log file virusinfo_syscheck.zip

  13. #13
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54
    Updated script log.
    Вложения Вложения

  14. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Switch off/Disable:
    - Antivirus and and, if you have - Firewall.
    - System Restore

    - Execute following script
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%SystemRoot%\system32\drivers\wdmaud.sys','');
     QuarantineFile('%systemroot%\system32\drivers\ESQULnjcwmkqlvuquwfkutvqhpmnnabrxuscc.sys','');
     DeleteFile('%systemroot%\system32\drivers\ESQULnjcwmkqlvuquwfkutvqhpmnnabrxuscc.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    After reboot execute following script
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');
    end.
    - Clean Temp-Maps, Cache of Browsers, Recycler. Use Windows service tool cleanmgr or CCleaner or ClearProg
    - Close all the programs and start only Internet Explorer!!!
    - Repeat 3 log files.
    - Switch Antivirus and, if you have - Firewall, on.
    - Go On-Line
    - Upload the C:\quarantine.zip over the link Upload quarantined files on the top of this page.
    - Attach 3 logs to your new post..
    Последний раз редактировалось Rene-gad; 23.07.2009 в 23:49.

  15. #15
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54
    New logs attached.
    Вложения Вложения

  16. #16
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54
    Kaspersky installed and is running a full scan presently. Will update with new logs when finished.

  17. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Will update with new logs when finished.
    JUST BEFORE Execute following script
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('%systemroot%\system32\drivers\ESQULserv.sys','');
     QuarantineFile('D:\autorun.inf','');
     DeleteFile('D:\autorun.inf');
     DeleteFile('%systemroot%\system32\drivers\ESQULserv.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('ESQULserv');
    BC_Activate;
    RebootWindows(true);
    end.
    After reboot execute following script
    Код:
    begin
    CreateQurantineArchive('C:\quarantine.zip');
    end.
    - Clean Temp-Maps, Cache of Browsers, Recycler. Use Windows service tool cleanmgr or CCleaner or ClearProg
    - Close all the programs and start only Internet Explorer!!!
    - Repeat 3 log files.
    - Switch Antivirus and, if you have - Firewall, on.
    - Go On-Line
    - Upload the C:\quarantine.zip over the link Upload quarantined files on the top of this page.
    - Attach 3 logs to your new post..

  18. #18
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54
    Updated log files attached.

    Everything seems to be running great. KAV installed completely and all apps are running accordingly. Let me know if I need anything else.

    Thanks!!!
    Вложения Вложения

  19. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Did you execute my last script BEFORE making of logs?

  20. #20
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    17
    Вес репутации
    54
    Yes I did. Is there a problem?

Страница 1 из 2 12 Последняя

Похожие темы

  1. virus still present (заявка №67447)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 02.05.2011, 12:00
  2. Virus still present after formatting hd
    От blozanoe в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 08.07.2010, 16:23
  3. Files infected with Trojan Horse & Downloader
    От yipwingching в разделе Malware Removal Service
    Ответов: 0
    Последнее сообщение: 28.06.2010, 07:16
  4. to detect if virus is present
    От data5 в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 28.05.2010, 13:56
  5. Ответов: 3
    Последнее сообщение: 09.11.2008, 15:24

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00169 seconds with 20 queries