Показано с 1 по 13 из 13.

Снова Trojan.Winlock.179 (заявка № 68416)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35

    Question Снова Trojan.Winlock.179

    Доброй ночи.
    Подцепил Trojan.Winlock.179
    Странно, но это произошло при активном, обновленном, лицензионном DRWEB и на системе со всеми обновлениями...
    С помощью ДрВебовского разблокировщика ввел код, и пролечил систему и CureIt и AVPTool.
    CureIt убил несколько файлов (в TEMP и system32\user32.exe), но в системе остался ovjp.fbo, который не ловили антивирусы, и который появлялся в реестре (модицицирован запуск проводника).
    Этот файл был детектирован как вирус на www.virustotal.com и я его удалил руками. больше не видел проблем.
    НО после перезагрузки вылез розовый порнобанер и так же захотел денег. опять разблокировал и руками поудалял несколько exe-шников из TEMP..
    Больше антивирусы ничего не находят, система не блокируется, НО:
    не понятно откуда появился последний блокировщик и не получается сделать virusinfo_syscure.zip - AVZ молча закрывается при сканировании диска (и в безопасном режиме тоже).
    Высылаю те логи, которые получились. посмотрите, пожалуйста.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\KB905474\wgasetup.exe','');
     DeleteFile('-.exe');
     DeleteFile('C:\WINDOWS\system32\KB905474\wgasetup.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35
    Спасибо за помощь.
    Указанных в скрипте файлов не наблюдается в системе.
    Выполнил указанный скрипт: компьютер перегрузился, но в карантине ничего не попало. с помощью поиска файлов AVZ эти файлы так же не находятся.
    И ничего не изменилось в системе. Лог virusinfo_syscure.zip по прежднему не создается: закрывается программа.
    Что делать, подскажите пожалуйста.
    Через полчаса работы ноута (чтение Вашего сайта) система встает колом: дисковой активности не наблюдается, но между программами не переключиться... помогите...

    Добавлено через 4 часа 30 минут

    Можно ли что-то сказать по этим логам? (скрипт ничего не сделал, т.к. нет таких файлов)
    АВЗ молча закрывается на сканировании файлов как в сайф моде, так и в нормальном режиме при попытке сделать virusinfo_syscure.zip
    компьютер подпормаживает неслабо..
    сейчас проверяю с диска vba32rescue...
    подскажите, что можно сделать... как найти, кто не дает работать АВЗ?
    Последний раз редактировалось r403; 24.01.2010 в 15:26. Причина: Добавлено

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от r403 Посмотреть сообщение
    скрипт ничего не сделал, т.к. нет таких файлов
    В скрипте не только файловые операции!
    Сделайте новый лог по п.2 раздела Диагностика.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35
    Спасибо, за внимание и помощь.
    диагностику по п.2 сделал.
    до того, как АВЗ закрывается при сканировании системы ( по 1 п. диагностики), сохранил лог работы. вдруг он поможет...
    Последний раз редактировалось r403; 24.01.2010 в 18:35. Причина: добавил лог

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\Program Files\Microsoft\RATTV3\cswa.exe - пришлите согласно приложения 2 правил

  8. #7
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35

    Не срослось...

    в ответ я получил следующее
    Ошибка карантина файла, попытка прямого чтения (C:\Program Files\Microsoft\RATTV3\cswa.exe)
    Карантин с использованием прямого чтения - ошибка
    папки C:\Program Files\Microsoft\ в системе нет....
    в карантине что-то было после предыдущего сканирования (вроде нового не появилось) на всякий случай отсылаю
    карантин отослан:
    Файл сохранён как 100124_190445_virus_4b5c6f9d42841.zip
    Размер файла 1046776
    MD5 8cae7a8721b14217dddac40479281536
    Последний раз редактировалось r403; 24.01.2010 в 19:05. Причина: добавил карантин

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Microsoft\RATTV3\cswa.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35
    выполнил скрипт. пергрузился ноут. первый лог опять не делается АВЗ тихонько закрывается. прегрузился, сделал 2 и 3 лог.
    Странно, 5 мин назад, при первой попытку послать логи браузер упал при попытке прикрепить hijackthis.log - переименовал его в 1.txt -- пробую еще раз.: теперь получилось
    Спасите пожалуйста...

  11. #10
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35
    Посоветуйте, пожалуйста, еще чего-нибудь... АВЗ падает и система тормозит...

  12. #11
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35
    На всякий случай сделал лог Malwarebytes Antimalware..
    ни чего не лечил.
    Проверил те файлы, которые в логе отмечены как зараженные на http://www.virustotal.com/ - про
    C:\WINDOWS\Debug\UserMode\explorer.exe сказали что нет вируса,
    а
    C:\WINDOWS\system32\serauth1.dll и
    C:\WINDOWS\system32\serauth2.dll - нулевого размера...
    про "зараженные" параметры и кючи реестра я не знаю
    Помогите, пожалуйста

    Добавление:
    Посмотрел с помощью sysinternals Filemon на чем падает AVZ, когда делает первый лог.
    На совершенно безабидных файлах (как мне кажется). Для эксперимента запустил тот АВЗ, который идет одним файлом temp.pif ("полиморфный"?)
    Последние строчки, которые попали в Filemon, прежде чем АВЗ молча закрылся следующее

    temp.pif: READ C:\Program Files\Common Files\SPSSInc\collaboration_client\repository-client.jar SUCCESS Offset: 977698 Length: 4
    temp.pif: READ C:\Program Files\Common Files\SPSSInc\collaboration_client\repository-client.jar SUCCESS Offset: 977702 Length: 55
    temp.pif: QUERY INFORMATION C:\Program Files\Common Files\SPSSInc\collaboration_client\repository-client.jar SUCCESS Length: 1059375

    Я так и не понял, читая система или нет.... вроде все работает, но АВЗ падает на 1-ом логе и не получается сделать лог Grem-ом: система зависает, все еле-еле двигается, без видимой диковой активности....
    Последний раз редактировалось r403; 25.01.2010 в 02:04.

  13. #12
    Junior Member Репутация
    Регистрация
    21.07.2007
    Сообщений
    35
    Вес репутации
    35
    Удалось сделать все необходимые логи.
    Т.к. выяснилось, что АВЗ закрывался про анализе программы SPSS (как на файлах дистрибутива, так на файлах установленной программы), то я перенес на время эти файлы на сетевой диск и логи собрались.
    Там в карантин попал Norton Ghost 10.rar с вирусом внутри - в этом файле нет проблем - он не нужен, - удалил его.
    Посмотрите, пожалуйста, чистая ли система?
    Сейчас из жалоб только жуткий тормаз при попытке собрать лог gmer-мом или GetSystemInfo...
    Заранее СПАСИБО.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,525
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) r403, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 24.06.2012, 11:04
    2. И снова Winlock с оплатой на билайн
      От -Алексей- в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 15.09.2010, 21:59
    3. Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)
      От bolshoy kot в разделе Описания вредоносных программ
      Ответов: 6
      Последнее сообщение: 16.02.2010, 19:16
    4. Trojan.Packed.16886 и Trojan.WinLock
      От Rogoff в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.12.2009, 06:56
    5. Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock
      От SDA в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 09.12.2009, 09:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00750 seconds with 21 queries