Показано с 1 по 5 из 5.

троян, качает, закрывает сайты, ворует пароли (заявка № 83120)

  1. #1
    Junior Member Репутация
    Регистрация
    16.05.2010
    Сообщений
    3
    Вес репутации
    51

    Cool троян, качает, закрывает сайты, ворует пароли

    Добрый день!
    Помогите забороть заразу, не хочется переустанавливать систему.
    Вчера занёс вирус. Сегодня обнаружил, avz+cureit+virus removal обошёл всю систему, cureit нашёл один вредный файл и всё. Руками в папке system32 поубивал всякие вредные длл. Однако, явно что-то осталось. стоит outpost firewall и drweb с последними обновлениями, вирусу на них до лампочки.
    Поведение таково:
    через некоторое время после перезагрузки блокирует антивирусные сайты, они не пингуются и не трейсроутятся. route -f не помогает. Когда вирус начинает блокировать сайты, outpost выдаёт неопознанную ошибку.
    svchost.exe и программная прокся шлют разный шлаковый траффик, откуда - непонятно. Имел подозрение на компоненты для iexplorer, но ничего не нашёл. в службах висела незапущенная служба FCI, с путём svchost.exe:ext.exe. Запустил скрипт на удаление этого придатка в avz, тот ругнулся на ошибку чтения файла. По размеру svchost.exe идентичен обыкновенному, по дате - новый.
    Вирус также крадёт пароли от аськи, скайпа. qip при запуске ругается на потёртый языковой файл, когда восстанавливаю - пустые поля имени и пароля. у скайпа просто пустые поля.
    В процессах и их модулях всё гладко. Обыскался уже, никак не могу найти где эта зараза прячется.
    Прилагаю логи.
    Последний раз редактировалось voidzero; 15.07.2010 в 04:58.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Здравствуйте, уже вышла новая версия АВЗ, надо скачать, обновить базы переделать ей логи - z-oleg.com

  4. #3
    Junior Member Репутация
    Регистрация
    16.05.2010
    Сообщений
    3
    Вес репутации
    51
    Прилагаю логи от нового AVZ.
    Похоже что новая версия наша виновника моих бед:

    C:\Documents and Settings\Администратор\Local Settings\Temp\tgyuzu.dll >>>>> Backdoor.Win32.Agent.avcf успешно удален
    Файл успешно помещен в карантин (C:\Documents and Settings\Администратор\Local Settings\Temp\uwwixp.dll)
    C:\Documents and Settings\Администратор\Local Settings\Temp\uwwixp.dll >>>>> Backdoor.Win32.Agent.avcf успешно удален

    C:\Program Files\Mozilla Firefox\setupapi.dll >>> подозрение на Trojan.Win32.BHO.agrc ( 0A209082 044E4308 0027F88D 0000422E 11264)


    Вечером погоняю машину, напишу точно.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\system32\sesinetd.exe');
     StopService('bmbemu');  
     QuarantineFile('C:\TCDL\Plugins\exe\Viewer\Nav.exe','');
     QuarantineFile('C:\TCDL\Utilites\WinUpack\WinUpackE.exe','');
     QuarantineFile('C:\TCDL\Utilites\WinUpack\WinUpackR.exe','');
     QuarantineFile('C:\Program Files\TrueLaunchBar\tlbhook.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\nnkey.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\bmbemu.SYS','');
     QuarantineFile('C:\WINDOWS\system32\sesinetd.exe','');
     QuarantineFile('c:\windows\system32\sesinetd.exe','');      
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  6. #5
    Junior Member Репутация
    Регистрация
    16.05.2010
    Сообщений
    3
    Вес репутации
    51
    Спасибо, простым обновлением avz от вируса избавился. Все запрошенные Вами файлы вирусами не являются точно - знаю каждый поимённо. Ещё раз спасибо за помощь!

  • Уважаемый(ая) voidzero, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Кто-то ворует пароли при взоде в систему
      От Pozitiv в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.10.2009, 02:16
    2. Ответов: 0
      Последнее сообщение: 28.08.2009, 14:10
    3. Ответов: 7
      Последнее сообщение: 08.06.2009, 22:39
    4. Ответов: 16
      Последнее сообщение: 22.02.2009, 06:33
    5. Кто ворует пароли?
      От AlexSh1 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.06.2007, 15:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00049 seconds with 17 queries