Показано с 1 по 12 из 12.

System Alert! в трее (заявка № 8333)

  1. #1
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    36

    Question System Alert! в трее

    Помогите обезвредить троян, пожалуйста! Недавно у меня на компьютере самовольно установилась программа SpyDawn, а вместе с ней постоянно стало вылезать сообщение, что на компьютере обнаружены опасные программы. SpyDawn удалил (вроде бы), но сообщение все равно выскакивает! Прошелся касперским, CureIt'ом, AVZ - не помогло.
    Да, есть подозрение что это не единственный троян на машине, потому что через Wi-Fi соединение идет какой-то лишний траффик.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    823
    AVZ -> Файл -> Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('appmgmts.dll','');
     QuarantineFile('C:\WINDOWS\system32\geplxss.dll','');
     QuarantineFile('C:\WINDOWS\system32\cmkrt.dll','');
    CreateQurantineArchive(GetAVZDirectory+'virusinfo_8333_quarantine.zip');
    RebootWindows(true);
    end.
    После перезагрузки, в папке AVZ найти файл virusinfo_8333_quarantine.zip и прислать его нам, через эту форму.

  4. #3
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    36
    Выслал файлы в карантине в соответствии с правилами.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Skrim Посмотреть сообщение
    Выслал файлы в карантине в соответствии с правилами.
    Файлы пришли, там два зловреда:
    Settings\partnership.dll = Trojan-Proxy.Win32.Xorpix.ar
    system32\geplxss.dll = Trojan.Win32.Dialer.cs
    cmkrt.dll - тоже зловред
    далее необходимо выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('C:\WINDOWS\system32\geplxss.dll');
     DeleteFile('C:\WINDOWS\system32\cmkrt.dll');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После этого сдалайте новые логи по правилам - для контроля и изучения, что еще могло остаться

  6. #5
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    36
    Ура, значок в трее исчез! СПАСИБО!!! НО! Из сети продолжает что-то качаться, причем, как показывает программа DUMETER, в нехилых масштабах - скорость загрузки порой доходит до 15 кб/сек, а отгрузки - до 18 (то есть съедает больше половины моего траффика)! Поэтому многие сайты не открываются, или открываются через раз (тот же viruslist.ru, к примеру). Помогите разобраться, пожалуйста, раньше такого не было.
    В связи с чем высылаю обновленные логи:
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Skrim Посмотреть сообщение
    Ура, значок в трее исчез! СПАСИБО!!! НО! Из сети продолжает что-то качаться, причем, как показывает программа DUMETER, в нехилых масштабах - скорость загрузки порой доходит до 15 кб/сек, а отгрузки - до 18 (то есть съедает больше половины моего траффика)! Поэтому многие сайты не открываются, или открываются через раз (тот же viruslist.ru, к примеру). Помогите разобраться, пожалуйста, раньше такого не было.
    В связи с чем высылаю обновленные логи:
    Я поэтому и просил повторные логи - у вас "зверинец" на ПК настоящий, его лучше лечит в несколько приемов. Итак, вторая операция - выполните скрипт:
    Код:
    begin
     // Постановка задания
     BC_QrSvc('ntio256');
     BC_DeleteSvc('ntio256');
     BC_DeleteFile('C:\WINDOWS\system32\protector.exe');
     BC_DeleteFile('C:\WINDOWS\system32\ntio256.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\huftalvy.exe');
     BC_DeleteFile('C:\WINDOWS\Temp\famtltxs.exe');
     BC_DeleteFile('C:\Documents and Settings\MiB\Local Settings\Temp\maindll.dll');
     // Активация
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     // Перезагрузка
     RebootWindows(true);
    end.
    После этого пришлите содержимое карантина и сделайте логи заново. И заодно посмотрите, пропадет паразитный трафик или нет

  8. #7
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    36
    Ура-ура-ура, паразитный трафик исчез! Теперь инет тоже работает как надо Уфф, ну теперь видимых претензий к системе вроде бы нет, но на всякий случай снова высылаю логи и содержимое карантина.
    Заодно, чтобы такого "зверинца" больше не повторилось, посоветуйте пожалуйста антивирус, который :
    а) был бы не требовательным к ресурсам (с касперским, например, у меня ОЧЕНЬ СИЛЬНО замедлялась загрузка, поэтому почти все его компоненты защиты пришлось отключить);
    б)наличествовала бесплатная или триал-версия;
    и файрволл
    а) тоже не жрал слишком много ресурсов(сейчас стоит встроенный в модем Zyxel P660HTW, но думается, его недостаточно)
    б)была бы бесплатная или триал-версия
    в)простой в настройке, потому что в сетевых технологиях я пока не очень разбираюсь
    Еще раз спасибо за оперативность!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162
    http://www.avast.com/eng/download-avast-home.html - из бесплатных один из лучших;
    http://www.zonealarm.com/store/conte...try=US&lang=en
    ZoneAlarm®
    Free Version , если хочется получить PRO (очень мощный фаервол, один из лучших) то сюда - предварительно зарегистрировавшись http://forum.ru-board.com/topic.cgi?forum=35&topic=40#1
    По логам вроде бы все нормально, но Олег скажет окончательно, да советую поменять Internet Explorer на 7 версию.

  10. #9
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    36
    Все, побежал качать!

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Skrim Посмотреть сообщение
    Все, побежал качать!
    Зверь убился. Я советую напоследок выполнить скрипт:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\AegisP.sys','');
     QuarantineFile('C:\WINDOWS\system32\main.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\s24trans.sys','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe','');
     ClearHostsFile;
    end.
    и прислать то, что накопилось в карантине согласно правилам (там от скрипта из моего поста #6 что-то могло попасть, и от этого). Кроме того, этот скрипт зачитстит файл Hosts, который попртили зловреды.

  12. #11
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    36
    Скрипт выполнил, но я раньше поставил Avast, и он при проверке системы успел покопаться в карантине AVZ, нашел там кучу вирей и удалил их, поэтому AVZ при выполнении скрипта написал в протоколе вот что (хотя может так и должно быть?):
    ---------------------------------------------------------------------
    Файл "C:\WINDOWS\system32\DRIVERS\AegisP.sys" успешно помещен в карантин
    Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\AegisP.sys
    Файл "C:\WINDOWS\system32\main.sys" успешно помещен в карантин
    Выполнен карантин файла C:\WINDOWS\system32\main.sys
    Файл "C:\WINDOWS\system32\DRIVERS\s24trans.sys" успешно помещен в карантин
    Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\s24trans.sys
    Ошибка карантина файла "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    -----------------------------------------------------------------------
    Но все равно посылаю карантин что получилось.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,511
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\документы\\settings\\partnership.dll - Trojan.Win32.Agent.oh (DrWEB: BackDoor.Uragan)
      2. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\0abcv5op\\60787[1].exe - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)
      3. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\0abcv5op\\60787[2].exe - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)
      4. c:\\windows\\system32\\cmkrt.dll - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)
      5. c:\\windows\\system32\\geplxss.dll - Trojan.Win32.Dialer.cs (DrWEB: Trojan.Fakealert.25
      6. c:\\windows\\system32\\main.sys - Trojan.Win32.Agent.ady (DrWEB: Trojan.NtRootKit.222)
      7. c:\\windows\\system32\\ntio256.sys - Rootkit.Win32.Agent.cf (DrWEB: Trojan.Sklog)
      8. c:\\windows\\system32\\protector.exe - Trojan-Proxy.Win32.Wopla.ac (DrWEB: Trojan.Sklog)
      9. c:\\windows\\temp\\famtltxs.exe - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)
      10. c:\\windows\\temp\\huftalvy.exe - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)


  • Уважаемый(ая) Skrim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. В трее сообщение System Alert
      От lesik_1971 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:21
    2. System Alert! в трее, помогите вылечить
      От projecto® в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 02:08
    3. System alert в трее
      От pakat в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 01:39
    4. System Alert! в трее
      От Арслан в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 26.02.2007, 12:05
    5. System Alert! в трее.
      От Marija в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 29.01.2007, 08:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01010 seconds with 23 queries