Показано с 1 по 20 из 20.

Нашествие троянов (заявка № 57752)

  1. #1
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27

    Exclamation Нашествие троянов

    Доброго времени суток,

    у меня следующая ситуация, на компе стоит лицензионный ZoneAlarm Security Suite с защитой браузера ForceField. До недавнего времени проблемы с безопастностью осутствовали, но после чего на компьютер скачали что-то непонятное с интернета (компом пользуюсь не только я), начались проблемы. Постоянно какие-то трояны ZoneAlarm обнаруживает и вроде и карантинит и лечит и удаляет что-то, но видно до конца проблему не решает. Компьютер работает в целом нормально, но были случаи что интернет не работает или же браузер при открытие пересылает сразу же на какой-то левый сайт.

    Я произвел все действие по пунктам для решение проблем, при последней проверке ZoneAlarm-ом, он нашел 16 вредоносных обьектов с такими прекрасными названиями как:
    RarePacker.Multi.Generic
    Trojan.Win32.Buzus.cbgm.
    P2P-Worm.Win32.Palevo.jpm.
    Trojan.Win32.Delf.owo.
    Trojan.Win32.Crypt.bgj.
    P2P-Worm.Win32.Palevo.jov.
    Trojan-Proxy.Win32.Agent.bub.
    ZoneAlarm опять же утверждал что все нужное сделал и все уже в порядке, после этого в безопасном режиме AVPTool ничего не нашел, но все же хочется Вас попросить взглянуть на логи.

    Заранее Спасибо
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Здравствуйте,

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Обновите базы АВЗ: (Файл/Обновление баз).
    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\RECYCLER\S-1-5-21-3925303601-0839621597-936045614-7719\csvcs.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-3925303601-0839621597-936045614-7719\csvcs.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811','*.*',true);
     DeleteFileMask('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859','*.*',true);
     DeleteFileMask('C:\RECYCLER\S-1-5-21-3925303601-0839621597-936045614-7719','*.*',true);
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Удалите Bonjour.
    - Очистите темп-папки, кэш проводников и корзину.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Я выполнил прописанные пункты и сделал новые логи. Также заметил что Ваш сайт и сайты с похожим содержанием на проблемном компе не грузятся, пробовал во всех браузерах. До решение проблем зараженым компом никто не пользуется.

    Жду дальнейших инструкций.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Карантин не прислали, почему?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Извините если до меня тяжело доходит, но вроде карантин не запрашивали или же я сделал что-то не так в процессе диагностики?

    Подскажите пожалуйста.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Formuly Посмотреть сообщение
    Извините если до меня тяжело доходит, но вроде карантин не запрашивали.
    Действительно не запрашивали - моё упущение. А про Бонжур писал, а Вы не удалили.

    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\jcdrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
     DeleteFile('C:\WINDOWS\system32\wshost32.exe');
     DeleteFile('C:\WINDOWS\jcdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    - Удалите Bonjour.
    - Очистите темп-папки, кэш проводников и корзину.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Bonjoura нигде не нахожу, удалял через Панель управления.
    Через диспетчер устройств удалил одно неизвестное устройство.
    Очистил кэш итд, загрузил карантин, выкладываю новые логи.

    Жду дальнейших инструкций.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('9new.exe','');
    DeleteFile('%windir%\9new.exe');
    DeleteFile('%windir%\system32\9new.exe');
    DeleteFile('%windir%\system32\drivers\9new.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce');
    DeleteService('bugkgehx');
    DeleteService('wdwjgnkai');
    RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\bugkgehx');
    RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\wdwjgnkai');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Сделайте лог GMER.

  10. #9
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Выполнил скрипт, закачал карантин и прикрепил лог GMER.

    Жду дальнейших инструкций.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    - Выполните код в GMER.

    Код:
    t8k6ugzq.exe -del file "C:\WINDOWS\system32\jpvwosp.dll"
    t8k6ugzq.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bugkgehx"
    t8k6ugzq.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wdwjgnkai"
    t8k6ugzq.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bugkgehx"
    t8k6ugzq.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\wdwjgnkai"
    t8k6ugzq.exe -reboot
    После перезагрузки:
    - Повторите лог GMER.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Пробовал выполнять код в GMERе по правилам, до конца так и не понял выполнился он нормально или нет, после нажатия кнопки Run во второй командной строке (та что снизу) появляется такой текст и ничего больше не происходит:

    "t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
    ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
    "t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
    ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
    "t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
    ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
    "t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
    ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
    "t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
    ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
    "t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
    ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.

    Пробовал несколько раз, даже набрал код вручную, результат тот же. В любом случае после перезагрузки сделал диагностику и новый GMER лог, которые и прикрепил к данному сообщению.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Сделайте лог полного сканирования MBAM.

  14. #13
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Выполнил скан, выкладываю лог.
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    -Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MMZY2LCS\tvqovvr[1].jpg',''); 
    QuarantineFile('C:\WINDOWS\system32\jpvwosp.dll','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  16. #15
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Выполнил успешно скрипт, карантин закачал.

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Выполните скрипт в AVZ
    Код:
    begin
     DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MMZY2LCS\tvqovvr[1].jpg');
     DeleteFile('C:\WINDOWS\system32\jpvwosp.dll');
    DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Net-Worm.Win32.Kido.ih был в карантине. Значит, надо делать проверку КидоКиллером + устанавливать необходимые заплатки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    20.10.2009
    Сообщений
    9
    Вес репутации
    27
    Так что же делать? Какие действие сперва? Что это за заплатки?

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Последний раз редактировалось Rene-gad; 28.10.2009 в 17:50. Причина: инстр-я linked ;)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\mmzy2lcs\tvqovvr[1].jpg - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AL worm, AVAST4: Win32:Confi [Wrm] )
      2. c:\windows\system32\jpvwosp.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AL worm, AVAST4: Win32:Confi [Wrm] )


  • Уважаемый(ая) Formuly, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Нашествие вирусов
      От CBETA в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 08.08.2011, 15:08
    2. Нашествие
      От DeroY в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.05.2011, 21:09
    3. Нашествие троянов
      От fefela в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 10.04.2010, 23:49
    4. Нашествие
      От JaneYa в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.10.2007, 21:51
    5. Нашествие Лошадей
      От BioDee в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.03.2007, 10:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00300 seconds with 23 queries