-
Junior Member
- Вес репутации
- 51
троян, качает, закрывает сайты, ворует пароли
Добрый день!
Помогите забороть заразу, не хочется переустанавливать систему.
Вчера занёс вирус. Сегодня обнаружил, avz+cureit+virus removal обошёл всю систему, cureit нашёл один вредный файл и всё. Руками в папке system32 поубивал всякие вредные длл. Однако, явно что-то осталось. стоит outpost firewall и drweb с последними обновлениями, вирусу на них до лампочки.
Поведение таково:
через некоторое время после перезагрузки блокирует антивирусные сайты, они не пингуются и не трейсроутятся. route -f не помогает. Когда вирус начинает блокировать сайты, outpost выдаёт неопознанную ошибку.
svchost.exe и программная прокся шлют разный шлаковый траффик, откуда - непонятно. Имел подозрение на компоненты для iexplorer, но ничего не нашёл. в службах висела незапущенная служба FCI, с путём svchost.exe:ext.exe. Запустил скрипт на удаление этого придатка в avz, тот ругнулся на ошибку чтения файла. По размеру svchost.exe идентичен обыкновенному, по дате - новый.
Вирус также крадёт пароли от аськи, скайпа. qip при запуске ругается на потёртый языковой файл, когда восстанавливаю - пустые поля имени и пароля. у скайпа просто пустые поля.
В процессах и их модулях всё гладко. Обыскался уже, никак не могу найти где эта зараза прячется.
Прилагаю логи.
Последний раз редактировалось voidzero; 15.07.2010 в 04:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте, уже вышла новая версия АВЗ, надо скачать, обновить базы переделать ей логи - z-oleg.com
-
-
Junior Member
- Вес репутации
- 51
Прилагаю логи от нового AVZ.
Похоже что новая версия наша виновника моих бед:
C:\Documents and Settings\Администратор\Local Settings\Temp\tgyuzu.dll >>>>> Backdoor.Win32.Agent.avcf успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\Администратор\Local Settings\Temp\uwwixp.dll)
C:\Documents and Settings\Администратор\Local Settings\Temp\uwwixp.dll >>>>> Backdoor.Win32.Agent.avcf успешно удален
C:\Program Files\Mozilla Firefox\setupapi.dll >>> подозрение на Trojan.Win32.BHO.agrc ( 0A209082 044E4308 0027F88D 0000422E 11264)
Вечером погоняю машину, напишу точно.
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\sesinetd.exe');
StopService('bmbemu');
QuarantineFile('C:\TCDL\Plugins\exe\Viewer\Nav.exe','');
QuarantineFile('C:\TCDL\Utilites\WinUpack\WinUpackE.exe','');
QuarantineFile('C:\TCDL\Utilites\WinUpack\WinUpackR.exe','');
QuarantineFile('C:\Program Files\TrueLaunchBar\tlbhook.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\nnkey.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\bmbemu.SYS','');
QuarantineFile('C:\WINDOWS\system32\sesinetd.exe','');
QuarantineFile('c:\windows\system32\sesinetd.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 51
Спасибо, простым обновлением avz от вируса избавился. Все запрошенные Вами файлы вирусами не являются точно - знаю каждый поимённо. Ещё раз спасибо за помощь!