Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

Троян - появляется после перезагрузки (заявка № 76914)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51

    Thumbs up Троян - появляется после перезагрузки

    Касперский находит трояна и успешно его удаляет, но после перезагрузки троян оказывается вновь в системе.
    При загрузке компа появляется предупреждение Касперского о заблокированной попытке svchosts соединения с фишинговым сайтом anabalikss.com
    Так же заблокирован доступ к некоторым сайтам в интернете в частности к virusinfo.info, virustotal.com. Вход на эти сайты возможен только через прокси.

    логи прикрепляю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\14784fbc.exe,C:\WINDOWS\system32\bc45edd0.exe,\\?\globalroot\systemroot\system32\lcddfKv.exe,
    Скачайте полиморфный AVZ (ссылка в моей подписи)

    Выполните скрипт в полиморфном AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\bc45edd0.exe','');
     QuarantineFile('C:\WINDOWS\system32\14784fbc.exe','');
     QuarantineFile('c:\program files\wnet\fjvozfv.exe','');
     DeleteFile('C:\WINDOWS\system32\14784fbc.exe');
     DeleteFile('C:\WINDOWS\system32\bc45edd0.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(20);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    Инструкция выполнена.

    Карантин загружен:
    Файл сохранён как 100424_144056_virus_4bd2cab8a0713.zip
    Размер файла 1975241
    MD5 43711815405d4e528af56c06fe320a53

    Что дальше?

  5. #4
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    Сорри. Забыла прикрепить новые логи.
    Вот они.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Папка C:\Program Files\wnet и ее содержимое Вам известны?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Папка C:\Program Files\wnet и ее содержимое Вам известны?
    папка не известна - в проводнике я ее не вижу (показ скрытых/системных файлов разрешен).
    Предупреждение Касперского о заблокированной попытке svchosts соединения с фишинговым сайтом anabalikss.com так и осталось.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\program files\wnet\fjvozfv.exe');
     QuarantineFile('c:\program files\wnet\fjvozfv.exe','');
     DeleteFile('c:\program files\wnet\fjvozfv.exe');
    DeleteFileMask('c:\program files\wnet', '*.*', true);
    DeleteDirectory('c:\program files\wnet');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    Новые логи

  10. #9
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    Карантин загружен
    Файл сохранён как100428_234313_virus_4bd88fd1abaeb.zip
    Размер файла626957
    MD53dc8fb0a0ee1632325cf1f91584370dd

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\c3412a42.exe','');
     QuarantineFile('C:\WINDOWS\system32\220ef5b0.exe','');
     DeleteFile('C:\WINDOWS\system32\220ef5b0.exe');
     DeleteFile('C:\WINDOWS\system32\c3412a42.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    новые логи

  13. #12
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    карантин закачен

    Файл сохранён как100429_221240_virus_4bd9cc18cd061.zip
    Размер файла626958
    MD53e0bc6b350ff75b2569a383edefa18ac

    Добавлено через 14 минут

    После всех проведенных лечений забастовал Касперский - теперь полная проверка на вирусы занимает пару секунд с результатом, что все ок.
    Последний раз редактировалось Natatula; 29.04.2010 в 22:28. Причина: Добавлено

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    прикладываю лог

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ
    Код:
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    удаление, указанных файлов прошло успешно. Сделала новые логи. Касперский при полной проверке на вирусы завершает работу через 2-3 секунды и сообщает, что все ок.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    выполнено.
    лог прикладываю

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('c:\windows\system32\EXPAPth.exe','');
    QuarantineFile('c:\windows\system32\IyrC6Li.exe','');
    QuarantineFile('c:\windows\system32\MM6F7Yo.exe','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    24.04.2010
    Сообщений
    20
    Вес репутации
    51
    карантин закачен
    Файл сохранён как100501_002835_virus_4bdb3d7349640.zip

    Размер файла222706

    MD59ec2ed3665acdeec1d83d243bba8b1d4

  • Уважаемый(ая) Natatula, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 21.04.2011, 16:58
    2. Ответов: 12
      Последнее сообщение: 12.04.2010, 07:47
    3. Wiogn.AX появляется после перезагрузки
      От Anton_Petrenko в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.03.2008, 13:24
    4. Downloader msftp.dll после перезагрузки появляется
      От tarik1969 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 05.02.2008, 23:51
    5. Downloader msftp.dll после перезагрузки появляется
      От tarik1969 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.02.2008, 21:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01192 seconds with 19 queries