Показано с 1 по 15 из 15.

Не удалить троян. (заявка № 52902)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    54

    Exclamation Не удалить троян.

    Компьютер был заражен несколькими вирусами, в течении дня сканил разными антивирями NOD32, dr.Web CureIt, спайбутом с гугла, касперским проверялся он-лайн ... все что-то находили, но до конца не вылечили, описываю что происходит в настоящий момент.
    Симптомы - все время появляется окно "Защита файлов Windows" - грит что системные файлы заменены, и просит вставить диск с дистрибутивом винды. Если нажзать "Отмена" и согласится сохранить измененные файлы то окно через несколько секунд снова появляется.При вставке диска с дистрибутивом -окно исчезает, но как тока диск достаешь -снова появляется.
    Второе, Outpost обнаруживает процесс
    SERVICES.EXE в сетевой активности, который все время отправляет
    запрос на соединение на ah.ultima2009.info
    1.Сейчас установлен NOD32 v 3.0.672.0 -базы за вчерашнее число - при полном максимальном сканировании ничегоне обнаруживает.
    2 CureIt в безопасном режиме обнаружил 2 файла (msupd2.exe, install[1].exe ) зараженные trojan.fakealert.4747 вылечить не смог - переместил.
    3 Скачал AVZ и HiJackThis, распаковал обновил , но при проверк AVZ при отключенном инете архив virusinfo_syscure.zip. не создаётся, хотя архив с зараженными файлами virusinfo_cure.zipсоздался, по просьбе готов выслать.
    4 При включенном инете архив
    virusinfo_syscheck.zip создался, присылаю его и лог HiJackThis ... Очень надеюсь на Вашу помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Файл C:\WINDOWS\System32\Drivers\Beep.SYS замените на чистый: http://virusinfo.info/showthread.php?t=51654.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Сделайте лог GMER.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    54
    Вопрос в догонку
    - Файл C:\WINDOWS\System32\Drivers\Beep.SYS замените на чистый: http://virusinfo.info/showthread.php?t=51654.
    У меня есть родной диск винды - можно удалить beep.sys и воспользоваться sfc /scannow ?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от eHoToff Посмотреть сообщение
    У меня есть родной диск винды - можно удалить beep.sys и воспользоваться sfc /scannow ?
    Попробовать можете, но: Лучше сделайте как написано в статье

  6. #5
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    54
    Спасибо) Отправил карантин.

    Добавлено через 4 минуты

    Любопытный факт, взял beep.sys с соседней машины, он имел размер 5 кб, после того как заменил он через секунду поменял размер до 48 кб
    Последний раз редактировалось eHoToff; 25.08.2009 в 15:47. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    - Сделайте лог GMER.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
    Сделайте все, что просят, потом отписывайтесь, плиз

  8. #7
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    54
    virusinfo_syscure.zip. опять не создается
    Вложения Вложения

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    54
    Новые логи, avz_sysinfo.htm так и не создается
    Вложения Вложения

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    227
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer
    Код:
    gmer.exe -del service beep
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\Beep"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\Beep"
    gmer.exe -reboot
    И запустите cleanup.bat. Компьютер перезагрузится.

    Выполните в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\DOCUME~1\GL_BYX~1\LOCALS~1\Temp\{2B43252C-A1E3-4C47-927C-9F2C276D3515}\S3chipid.sys','');
     DeleteService('S3chipid');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\DOCUME~1\GL_BYX~1\LOCALS~1\Temp\{2B43252C-A1E3-4C47-927C-9F2C276D3515}\S3chipid.sys');      
     DeleteFileMask('%Tmp%', '*.*', true);
     BC_ImportDeletedList;
     BC_DeleteSvc('Beep');
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    ПК перезагрузится.

    Делайте новые логи.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  12. #11
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    54
    выполнил первое, после перезагрузки исчезла "защита файлов "windows",
    но при выполнении скрипта в avz выдает "failed to set 'DisplayName' "

  13. #12
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    54
    Симптомы вирусов исчезли, присылаю новые логи ... спасибо))
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    227
    В логах чисто.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  15. #14
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    54
    СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!!!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\beep.sys - Backdoor.Win32.NewRest.co ( BitDefender: Trojan.Generic.2220112, AVAST4: Win32:RustNT [Rtk] )


  • Уважаемый(ая) eHoToff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Троян Olmarik.RE как удалить?
      От krenar в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 08.01.2010, 06:46
    2. Не могу удалить троян!
      От Hopeless в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.05.2008, 14:55
    3. Помогите удалить троян
      От Игорь C в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.04.2008, 20:33
    4. Удалить троян
      От Sirko в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.02.2008, 23:32
    5. Как удалить троян (Повторно)
      От Valery1966 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.10.2006, 01:10

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00397 seconds with 18 queries