Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

помогите избавиться от трояна (заявка № 51217)

  1. #1
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    33

    Exclamation помогите избавиться от трояна

    Часто выскакивают ошибки. Висят подозрительные процессы.
    все сделал по инструкции.
    CureIt нашел 4 файла и удалял их.
    Процессы остались.
    Вложения Вложения
    Последний раз редактировалось коржик; 03.08.2009 в 13:23.

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    virusinfo_cure.zip из вложений убрать! Нужен файл virusinfo_syscure.zip

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     DeleteService('nicsk32');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     DeleteService('ati64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteService('acpi32');
     SetServiceStart('netsik', 4);
     DeleteService('netsik');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     TerminateProcessByName('c:\windows\system32\sysmgr.exe');
     QuarantineFile('c:\windows\system32\sysmgr.exe','');
     TerminateProcessByName('c:\windows\msudp32.exe');
     QuarantineFile('c:\windows\msudp32.exe','');
     TerminateProcessByName('c:\windows\system32\ms18_word.exe');
     QuarantineFile('c:\windows\system32\ms18_word.exe','');
     TerminateProcessByName('c:\documents and settings\user\ms18_word.exe');
     QuarantineFile('c:\documents and settings\user\ms18_word.exe','');
     DeleteFile('c:\documents and settings\user\ms18_word.exe');
     DeleteFile('c:\windows\system32\ms18_word.exe');
     DeleteFile('c:\windows\msudp32.exe');
     DeleteFile('c:\windows\system32\sysmgr.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    33
    сделал
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 05.08.2009 в 19:51. Причина: quarantine removed

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от thyrex Посмотреть сообщение
    Нужен файл virusinfo_syscure.zip
    ???

  6. #5
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    33
    сделал
    Вложения Вложения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\ms18_word.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
     DeleteService('ksi32sk');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     DeleteService('amd64si');
     TerminateProcessByName('c:\windows\system32\wshost32.exe');
     QuarantineFile('c:\windows\system32\wshost32.exe','');
     TerminateProcessByName('c:\windows\system32\spooisv.exe');
     QuarantineFile('c:\windows\system32\spooisv.exe','');
     TerminateProcessByName('c:\windows\msconfigs.exe');
     QuarantineFile('c:\windows\msconfigs.exe','');
     TerminateProcessByName('c:\windows\system32\hp32_nword.exe');
     QuarantineFile('c:\windows\system32\hp32_nword.exe','');
     TerminateProcessByName('c:\documents and settings\user\hp32_nword.exe');
     QuarantineFile('c:\documents and settings\user\hp32_nword.exe','');
     DeleteFile('c:\documents and settings\user\hp32_nword.exe');
     DeleteFile('c:\windows\system32\hp32_nword.exe');
     DeleteFile('c:\windows\msconfigs.exe');
     DeleteFile('c:\windows\system32\spooisv.exe');
     DeleteFile('c:\windows\system32\wshost32.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\Documents and Settings\NetworkService\ms18_word.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    33
    Результат загрузки
    Файл сохранён как 090807_092607_virus2_4a7bbaefe543a.zip
    Размер файла 463357
    MD5 0e09870ea71680319d271c28d4241693
    Файл закачан, спасибо!
    Вложения Вложения
    Последний раз редактировалось коржик; 07.08.2009 в 09:32.

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Диск с дистрибутивом имеется?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('msconfigs.exe','');
     SetServiceStart('port135sik', 4);
     DeleteService('port135sik');
     SetServiceStart('nicsk32', 4);
     DeleteService('nicsk32');
     SetServiceStart('i386si', 4);
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('msconfigs.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    33
    Цитата Сообщение от thyrex Посмотреть сообщение
    Диск с дистрибутивом имеется?
    Вы имеете в ввиду Windows? За дистрибутив текущей установки не уверен. Другой дистрибутив найдем.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Шлите последний карантин
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    33
    Компьютер сам не перегрузился, и никак не хотел перегружаться кроме как по кнопке RESET.


    Результат загрузки
    Файл сохранён как 090808_095911_virus4_4a7d142fa7768.zip
    Размер файла 419639
    MD5 a5a8c9b95938002447b805590a1fc05f
    Файл закачан, спасибо!
    Вложения Вложения

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Файл C:\WINDOWS\system32\Drivers\Ntfs.sys заражен, его нужно заменить на чистый из дистрибутива:
    - Загрузитесь в консоли восстановления
    - На приглашение введите строку:
    Код:
    copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys
    Вместо Х подставьте букву драйва, где лежит дистрибутив.
    Переписывание подтвердите.
    - Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    - Загрузитесь нормально.

    Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.

    Дальнейшее лечение будет эффективным только после выполнения вышенаписанного
    Последний раз редактировалось Rene-gad; 08.08.2009 в 11:26.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    33
    консоль восстановления не нашел на диске с дистрибутивом. Видимо какая то сборка.
    Поставил рядом другую винду и уже из под нее удалил Ntfs.sys из старой винды и заменил файлом из новой, так пойдет?

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Пойдет

    Новые логи теперь делайте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    33
    сделал
    Вложения Вложения

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Пофиксить в HiJack
    Код:
     R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKLM\..\Run: [wshost32] C:\WINDOWS\system32\wshost32.exe
    O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3122361550-0467662055-568212216-6700\csvcs.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     DeleteService('port135sik');
     TerminateProcessByName('c:\docume~1\user\locals~1\temp\700.exe');
     QuarantineFile('c:\docume~1\user\locals~1\temp\700.exe','');
     DeleteFile('c:\docume~1\user\locals~1\temp\700.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3122361550-0467662055-568212216-6700\csvcs.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\WINDOWS\system32\wshost32.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    DeleteFileMask('c:\docume~1\user\locals~1\temp', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('port135sik');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    В файле hosts удалите все, что не Ваше

    Сделайте новые логи (все три файла)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    33
    сделал
    Вложения Вложения

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Цитата Сообщение от thyrex Посмотреть сообщение
    В файле hosts удалите все, что не Ваше
    Переформулирую вопрос - в файл hosts вносили изменения сами?
    Кроме антивирусных сайтов, доступ к которым у Вас блокируется в данное время, могут быть нужные Вам записи.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    33
    упс, извините про hosts совсем забыл - с ним ничего не делал
    кроме этого, все чисто?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Выполните скрипт в AVZ
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог по п.2 Диагностики.

  • Уважаемый(ая) коржик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите избавиться от трояна!
      От Андрей Ярков в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 15.11.2011, 12:55
    2. Помогите избавиться от трояна
      От lostben в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.07.2011, 16:09
    3. Помогите избавиться от трояна!
      От Андрей Карпов в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.03.2011, 02:00
    4. Помогите избавиться от трояна sp**.sys
      От heat в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.04.2008, 13:37
    5. Помогите избавиться от трояна
      От boris_tovt в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.03.2008, 16:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00777 seconds with 21 queries