Показано с 1 по 20 из 20.

Троян Win32/Injektor.AAU (заявка № 56987)

  1. #1
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    8
    Вес репутации
    27

    Троян Win32/Injektor.AAU

    Троян Win32/Injektor.AAU
    После входа в интернет Нод32 обнаружил троян, жму "заветшить", появляеться снова, затем несколько червей и вирусов.
    Глубокий анализ Нод32 этот троян не обнаружил. А AVZ только те, что были скачаны с интернета. Самое главное, что через некоторое время (примерно 2-5 мин) происходит разьединение с интернетом, хотя в панели задач значок присутствует. Такчто даже обновление антивирусных баз данных скачать проблематично.
    Вот логи AVZ и HijackThis.
    Изображения Изображения
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\WINDOWS\ncdrive32.exe','');
     QuarantineFile('E:\RECYCLER\S-1-5-21-5130576560-1637618362-650604787-8449\wnzip32.exe','');
     QuarantineFile('E:\WINDOWS\system32\msdtc.exe','');
     QuarantineFile('E:\WINDOWS\usb_magr.exe','');
     QuarantineFile('E:\WINDOWS\usb_drv.exe','');
     DeleteFile('E:\RECYCLER\S-1-5-21-5130576560-1637618362-650604787-8449\wnzip32.exe');
     DeleteFile('E:\WINDOWS\ncdrive32.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=56987).
    Повторите п.2 раздела Диагностика и сделайте лог gmer.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    8
    Вес репутации
    27
    Вот
    Вложения Вложения
    Последний раз редактировалось Bratez; 13.10.2009 в 19:07. Причина: убрал лишнее вложение

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    virus.zip удалите из вложений и загрузите согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Где лог gmer, который запрашивался дополнительно?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('e:\windows\usb_magr.exe');
     QuarantineFile('e:\windows\usb_magr.exe','');
     TerminateProcessByName('e:\windows\usb_drv.exe');
     QuarantineFile('e:\windows\usb_drv.exe','');
     DeleteFile('e:\windows\usb_drv.exe');
     DeleteFile('e:\windows\usb_magr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal  Bus device');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Serial Bus device');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    8
    Вес репутации
    27
    Вот Gmer и логи.
    Вложения Вложения
    Последний раз редактировалось Rozerlef; 13.10.2009 в 12:29.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer:
    Код:
    j9c17pgw.exe -del service aczczyxj
    j9c17pgw.exe -del file "E:\WINDOWS\system32\nwyzxwi.dll"
    j9c17pgw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aczczyxj"
    j9c17pgw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\aczczyxj"
    j9c17pgw.exe -reboot
    И запустите cleanup.bat. Компьютер перезагрузится!

    Ждем свежий лог гмер.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  8. #7
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    8
    Вес репутации
    27
    вот лог.
    ЗЫ: Теперь Нод32 не видет ни вирусов ни червей, а проблема осталась, интернет сеть перестает работать через некоторое время.
    Вложения Вложения
    • Тип файла: log gmer.log (91.8 Кб, 5 просмотров)

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Батник запускали?
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('E:\WINDOWS\system32\nwyzxwi.dll','');
     QuarantineFile('E:\WINDOWS\innounp.exe','');
     DeleteFile('E:\WINDOWS\innounp.exe');
     DeleteFile('E:\WINDOWS\system32\nwyzxwi.dll');
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj');
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj\Parameters');
     RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj');
     RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj\Parameters');
     RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj');  
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj'); 
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.+ лог gmer
    Последний раз редактировалось snifer67; 13.10.2009 в 17:56. Причина: добавил чуть-чуть

  11. #10
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    8
    Вес репутации
    27
    пишет, что ошибка в скрипте (ошибка ';' extendet в позиции 15:1)

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    поправил

  13. #12
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    8
    Вес репутации
    27
    gmer будет позже. Если это трудноизлечимо, может легче снести виндоуз и установить заного?
    Вложения Вложения

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Rozerlef Посмотреть сообщение
    Если это трудноизлечимо, может легче снести виндоуз и установить заного?
    Спокойно! Дело близится к завершению.
    I am not young enough to know everything...

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     TerminateProcessByName('e:\windows\msdriver32.exe');
     QuarantineFile('e:\windows\msdriver32.exe','');
     DeleteFile('e:\windows\msdriver32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи AVZ.
    Последний раз редактировалось Bratez; 13.10.2009 в 19:13.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    +
    обновите базы своего антивируса, а то не успеваем одно прибить, как вы другое подхватываете. Если не обновляется, то замените его на что-то более работающее, например триал Касперского.
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    8
    Вес репутации
    27
    Установил Касперсого, обновил.
    Вложения Вложения

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('J:\autorun.inf','');
     DeleteFile('J:\autorun.inf');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Junior Member Репутация
    Регистрация
    12.10.2009
    Сообщений
    8
    Вес репутации
    27
    Все, что мешалось удалил, мегаграц!
    Вложения Вложения

  20. #19
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Ничего подозрительного не увидел
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 87
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Rozerlef, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. трояны injektor,kriptyk,черви confickerX, confickerAA
      От spools в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 13.11.2009, 19:02
    2. Ответов: 6
      Последнее сообщение: 28.02.2009, 16:27
    3. Ответов: 2
      Последнее сообщение: 09.02.2009, 21:07
    4. Ответов: 2
      Последнее сообщение: 31.01.2008, 09:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00183 seconds with 24 queries