Показано с 1 по 20 из 20.

Трояны (заявка № 8598)

  1. #1
    Junior Member Репутация
    Регистрация
    23.03.2007
    Сообщений
    14
    Вес репутации
    36

    Thumbs up Трояны

    Не знаю как бороться с этими вирусами.
    Заранее спасибо
    Последний раз редактировалось marnast; 25.03.2007 в 15:53.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    1. Пришлите virusinfo_cure.zip по ссылке Прислать запрошенные файлы
    2. AVZ - Файл - Выполнить скрипт:
    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
     QuarantineFile('C:\WINDOWS\system32\nortons.dll','');
     QuarantineFile('C:\WINDOWS\system32\cmdbcs.dll','');
    QuarantineFile('c:\windows\system32\a658f900.exe','');
    QuarantineFile('C:\WINDOWS\cmdbcs.exe','');
    QuarantineFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\WP27SHYJ\jh0315[2].exe','');
    QuarantineFile('C:\Documents and Settings\М\Local Settings\Temp\yupxdnd.exe','');
    CreateQurantineArchive(GetAVZDirectory+'virusinfo_8598_quarantine.zip');
    RebootWindows(true);
    end.
    3. После перезагрузки пришлите virusinfo_8598_quarantine.zip через ту же ссылку, что и в п.1

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495

    Многовато, может кого и забыл.

    На машине были трояны,ворующие пароли. Необходимо сменить пароли.
    Последний раз редактировалось PavelA; 23.03.2007 в 18:59. Причина: Опоздал, но важное дополнение
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    присланное (по DrWeb)
    c:\syswsj4\svchost.exe - Trojan.PWS.Gamania
    c:\sysdayn5\svchost.exe - Trojan.PWS.Gamania
    c:\syswsj5\svchost.exe - Trojan.PWS.Gamania
    C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\IZYB2PUF\wm0322[1].exe - Trojan.MulDrop.5762
    C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\WDQFOXEN\jt0320[1].exe - Trojan.MulDrop.5762
    C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\XWXU0RNV\wmsj0320[1].exe - Trojan.MulDrop.5762
    C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc3\svchost.exe - Trojan.PWS.Gamania
    C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc4\svchost.exe - Trojan.PWS.Gamania
    C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc5\svchost.exe - Trojan.PWS.Gamania
    C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc6\svchost.exe - Trojan.PWS.Gamania
    C:\SysDayN5\Ghook.dll - Trojan.PWS.Gamania
    C:\WINDOWS\system32\nortons.dll - Trojan.PWS.Wsgame

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    AVZ - Файл - Выполнить скрипт:
    Код:
    begin
    SetAVZGuardStatus(true);
    DeleteFile('c:\syswsj4\svchost.exe');
    DeleteFile('c:\sysdayn5\svchost.exe');
    DeleteFile('c:\syswsj5\svchost.exe');
    DeleteFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\IZYB2PUF\wm0322[1].exe');
    DeleteFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\WDQFOXEN\jt0320[1].exe');
    DeleteFile('C:\Documents and Settings\М\Local Settings\Temporary Internet Files\Content.IE5\XWXU0RNV\wmsj0320[1].exe');
    DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc3\svchost.exe');
    DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc4\svchost.exe');
    DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc5\svchost.exe');
    DeleteFile('C:\RECYCLER\S-1-5-21-776561741-688789844-1343024091-500\Dc6\svchost.exe');
    DeleteFile('C:\SysDayN5\Ghook.dll');
    DeleteFile('C:\WINDOWS\system32\nortons.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки повторите логи, надо посмотреть, что получилось и что ещё осталось.

    Там, по идее, ещё спамбот должен быть (rsvp32_2.dll). Не пришёл?

  7. #6
    Junior Member Репутация
    Регистрация
    23.03.2007
    Сообщений
    14
    Вес репутации
    36
    Загружаю повторно логи, файл rsvp32_2.dll не нашла, а что делать дальше?
    Последний раз редактировалось marnast; 25.03.2007 в 15:53.

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\sbhr.sys','');
     QuarantineFile('C:\Documents and Settings\М\Local Settings\Temp\ICD2.tmp\PopCapLoader.dll','');
     QuarantineFile('C:\DOCUME~1\C140~1\LOCALS~1\Temp\upxdnd.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sbapifs.sys','');
     QuarantineFile('C:\WINDOWS\system32\udcpm.dll','');
     QuarantineFile('C:\WINDOWS\system32\mppds.dll','');
     QuarantineFile('c:\windows\system32\a658f900.exe','');
     DeleteFile('C:\Documents and Settings\М\Local Settings\Temp\ICD2.tmp\PopCapLoader.dll');
     DeleteFile('c:\windows\system32\a658f900.exe');
     DeleteFile('c:\syswm1f\svchost.exe');
     DeleteFile('c:\sysdayn5\svchost.exe');
     DeleteFile('c:\syswsj4\svchost.exe');
     DeleteFile('c:\sysad5c\svchost.exe');
     DeleteFile('C:\SysAd5C\Ghook.dll');
     DeleteFile('c:\SysDayN5\Ghook.dll');
     DeleteFile('C:\WINDOWS\system32\nortons.dll');
     DeleteFile('C:\DOCUME~1\C140~1\LOCALS~1\Temp\upxdnd.exe');
     BC_ImportALL;
     ExecuteSysClean; 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
    Повторите логи, а также добавьте файл boot_clr.log из папки AVZ. Вы сами прописывали адреса в файле Host?
    Очистите кэш IE и корзину Windows.
    Последний раз редактировалось pig; 24.03.2007 в 01:06.

  9. #8
    Junior Member Репутация
    Регистрация
    23.03.2007
    Сообщений
    14
    Вес репутации
    36
    Все сделала, адреса в хосте я сама не прописывала, не умею и не знаю как это делать, заранее спасибо
    Последний раз редактировалось marnast; 25.03.2007 в 15:53.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Давайте попробуем прислать вот эти файлы -
    Код:
    begin
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\mppds.exe','');
     QuarantineFile('C:\WINDOWS\nortons.exe','');
     QuarantineFile('c:\windows\system32\a658f900.exe','');
     QuarantineFile('C:\WINDOWS\system32\mppds.dll','');
     QuarantineFile('C:\WINDOWS\system32\nortons.dll','');
    CreateQurantineArchive(GetAVZDirectory+'8598_quarantine-2.zip');
    end.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    По касперскому:
    avz00001.dta - Trojan-PSW.Win32.OnLineGames.jj,
    avz00002.dta - Trojan-PSW.Win32.OnLineGames.kt,
    avz00003.dta - Trojan-PSW.Win32.OnLineGames.jj,
    avz00004.dta - Trojan-PSW.Win32.OnLineGames.jj,
    avz00005.dta - Trojan-PSW.Win32.OnLineGames.jj,
    avz00007.dta - Trojan-PSW.Win32.OnLineGames.kt,
    avz00008.dta - Trojan-PSW.Win32.OnLineGames.jj,
    avz00009.dta - Trojan-PSW.Win32.OnLineGames.kt,
    avz00010.dta - Trojan-PSW.Win32.OnLineGames.kt,
    avz00011.dta - Trojan-PSW.Win32.OnLineGames.jj,
    avz00012.dta - Trojan-PSW.Win32.OnLineGames.jj,
    avz00013.dta - Trojan-PSW.Win32.OnLineGames.kt,
    avz00014.dta - Trojan-PSW.Win32.OnLineGames.jj,
    avz00015.dta - Trojan-PSW.Win32.OnLineGames.jj,
    avz00016.dta - Trojan-PSW.Win32.OnLineGames.es,
    avz00017.dta - Trojan-PSW.Win32.OnLineGames.kt,
    avz00018.dta - Trojan-PSW.Win32.OnLineGames.jj
    avz00006.dta - Trojan-Dropper.Win32.Agent.beu

  12. #11
    Junior Member Репутация
    Регистрация
    23.03.2007
    Сообщений
    14
    Вес репутации
    36
    отправила файлы из карантина

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Цитата Сообщение от marnast Посмотреть сообщение
    отправила файлы из карантина
    Всё присланное Trojan.PWS.Wsgame -
    C:\WINDOWS\mppds.exe
    C:\WINDOWS\nortons.exe
    C:\WINDOWS\system32\mppds.dll
    C:\WINDOWS\system32\nortons.dll

    Скачайте CureIT (ссылка в правилах) просканируйте систему, и сделайте новые логи.

  14. #13
    Junior Member Репутация
    Регистрация
    23.03.2007
    Сообщений
    14
    Вес репутации
    36
    Проверила систему CureIT, казалось бы чисто. Но после посещения интернета появляются те же вирусы. Стоит NOD 32. Что делать?
    Последний раз редактировалось marnast; 28.06.2007 в 13:03.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    1. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\М\Local Settings\Temp\ICD1.tmp\PopCapLoader.dll');
     DeleteFile('C:\WINDOWS\system32\nortons.dll');
     DeleteFile('C:\WINDOWS\nortons.exe');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
     RebootWindows(True);
    end.
    2.Пофиксить в HijackThis( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O23 - Service: 38FEFA20 -  - (no file)
    что это за чудо , кто знает ?
    O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - (no file)

    Компьютер перезагрузится. Повторите логи п.10 и 12 правил.
    Последний раз редактировалось drongo; 25.03.2007 в 13:00.

  16. #15
    Junior Member Репутация
    Регистрация
    23.03.2007
    Сообщений
    14
    Вес репутации
    36
    Все сделала, что дальше
    Последний раз редактировалось marnast; 28.06.2007 в 13:03.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В логах больше ничего подозрительного.
    Проблема еще как-то себя проявляет?

  18. #17
    Junior Member Репутация
    Регистрация
    23.03.2007
    Сообщений
    14
    Вес репутации
    36
    Пока нет, но в интернет заходить боюсь

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от drongo Посмотреть сообщение
    что это за чудо , кто знает ?
    O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - (no file)
    По названию - агент к именованной инстанции MS SQL. Судя по имени инстанции - очередные проделки Sony BMG. Видимо, уже почикали, раз no file.

  20. #19
    Junior Member Репутация
    Регистрация
    23.03.2007
    Сообщений
    14
    Вес репутации
    36
    Большое спасибо всем за помощь, пока все тихо

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) marnast, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. трояны
      От Gross в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 17.06.2010, 22:12
    2. Трояны
      От kba в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.11.2009, 21:22
    3. трояны
      От vanda в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.10.2009, 10:08
    4. Трояны
      От betsy в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2009, 03:10
    5. PSW трояны
      От user9 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.01.2008, 22:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01491 seconds with 26 queries