-
Junior Member
- Вес репутации
- 50
Обнаружение троянов при загрузке системы, лечение пока не помогает
Добрый день!
Столкнулся с проблемой очистки машины от троянцев. Недавно обнаружил в диспечере много процессов exeploer.exe:winini (без t ). Все убил, почистил реестр. Однако, записи в реестре с автозагрузкой все равно появляются. Причем имя программы, которая их заносит переодически меняется.
Во временных папках директорий "Виндос" и "документах" появляются файлы (*числа*.exe), в которых антивирус находит троянов, лечить не может, поэтому удалет. Но! после перезагрузки системы, они снова оказываются там (название меняются).
Процесс exeploer.exe постоянно лезет на какие то левые сайты.
Помогите найти гадость, которая загружает троянов.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\loja.exe','');
QuarantineFile('C:\DOCUME~1\Duck\LOCALS~1\Temp\p3j4cS97.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\azdbd82c.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('c:\windows\explorer.exe:userini.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Последний раз редактировалось Duck; 02.08.2010 в 14:24.
Причина: Ошибки
-
1.Замените файл C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из дистрибутива.
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Duck\DoctorWeb\Quarantine\24680.exe','');
DeleteFile('C:\Documents and Settings\Duck\DoctorWeb\Quarantine\24680.exe');
DeleteService('psuoj2y8a0eq');
DeleteFile('C:\WINDOWS\system32\loja.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 50
Тут небольшая проблема, даже в безопастном режиме NDIS.sys заблокирован и не желает удалятся. Сдюк сломан, а флэшку, с которой ставил систему, отформатировал, поскольку предположил, что вирус мог занести на ней. Сейчас постараюсь выкачать еще раз дистрибутив.
И этот файл, и копия из директории dllcache имеют размер 210 Кб , так что восстановить оттуда не выйдет, выходит их обоих нужно удалять.
Последний раз редактировалось Duck; 02.08.2010 в 20:03.
-
Junior Member
- Вес репутации
- 50
Прошу прошение за задержку. Долго провозился с созданием загрузочной флэшки. Ndis заменил. Скрипт выполнил. За последние сутки в темповских папках не появилось ни одного исполняемого файла с трояном
-
В логе подозрительного нет.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\explorer.exe:userini.exe - Backdoor.Win32.Bredolab.gpt ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Malware-gen )
- c:\windows\explorer.exe:userini.exe:$data - Backdoor.Win32.Bredolab.gpt ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Malware-gen )
- c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.B virus, AVAST4: Win32:Malware-gen )
-