Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Сборник вирусов и троянов (заявка № 94039)

  1. #1
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23

    Exclamation Сборник вирусов и троянов

    Здравствуйте )
    В последнее время какой-то ад с вирусами и троянами на компе ) первый звоночек был с моими сайтами - на них стала прописываться в коде строчка с ифреймом, подгружающая вирусы. Антивирусы молчали. Я делал бэкап, чистил фтп, менял пароли, но все безрезультатно. Для соединений по фтп пользуюсь тотал-коммандером, знаю что его многие ругают, но пароли в нем не храню.
    Потом уже Касперский стал что-то периодически находить, но удалить не может, пытается лечить, перезагружает комп, и опять все по-новой.
    На компьютере стоит лицензионный Касперский+лицензионный Аутпост файрволл, не спасает (
    Прогнал на компе ComboFix, вроде чуть поменьше вирусов стало, но проблемы еще есть. Посмотрите, пожалуйста
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Отключите восстановление системы!

    Отключив интернет и защитное ПО, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\waigaprnlib.dll','');
     QuarantineFile('C:\WINDOWS\System32\waigapsclib.dll','');
     QuarantineFile('C:\WINDOWS\system32\6QTSE7CD\F001.exe','');
     DeleteFile('C:\WINDOWS\system32\6QTSE7CD\F001.exe');
     DeleteFile('C:\WINDOWS\System32\waigapsclib.dll');
     DeleteFile('c:\windows\system32\waigaprnlib.dll');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('OpcEnum');
     BC_DeleteSvc('Pml Driver HPZ12');
     BC_DeleteSvc('catchme');
     BC_DeleteSvc('USBAAPL');
     BC_DeleteSvc('ZTEusbmdm6k');
     BC_DeleteSvc('ZTEusbnmea');
     BC_DeleteSvc('BSuWAcmv');
     BC_DeleteSvcReg('WaigSvc');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=94039).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23
    Bratez, спасибо большое за отклик! карантин отправил, только почему-то в нем не оказалось того файла из system32...
    Посмотрите, пожалуйста, новые логи. У меня файрволл еще иногда ругается что налево пакеты уходят и инфа, на этот счет посмотрите тоже, если можно
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Повторяю: Отключите восстановление системы!
    Иначе имеете все шансы восстановить своих троянов в первозданном виде.

    В логах больше ничего плохого не видно.
    Что с проблемами?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23
    Восстановление системы я отключаю, но какая-то зараза на компе ее врубает, плюс врубает автозапуск с дисков и т.д...
    Отключил сейчас снова, стал вручную удалять папку с восстановлением, там остался неудаленным A0005033.exe, пишет что сейчас используется и каспер сразу заверещал, но не удалил его. Каспер вообще ведет себя странно, процесс avp.exe занимает 99% процессорных возможностей, все тормозит...
    А так все проблемы на компе начались с моих сайтов - в них стала прописываться строчка с ифреймом и вирусами внутри, которые загружают или яву или pdf; я бэкапил, менял пароли - все безрезультатно, причем проблема не со всеми сайтами, как это обычно бывает, а только с двумя на аккаунте...

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от TCT Посмотреть сообщение
    остался неудаленным A0005033.exe, пишет что сейчас используется и каспер сразу заверещал
    Попробуйте удалять отключив антивирус.

    Не пойму по логам, какая версия касперского у вас? Если KIS, то зачем тогда Аутпост? Может из-за этого тормоза?
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23
    файлик удалился
    да, у меня KIS 11, Аутпост я поставил чтобы выяснить какие программы ломятся в Интернет и могут высылать мои пароли и т.п. Не нашел где в КИСе можно это смотреть. Попробовал сейчас Аутпост выгрузить - не помогло, все равно avp.exe на 99% загружает ЦП. Аупост мне так приложение не показывает, бывают иногда строчки вида "N/A" или "SYSTEM", которые стучатся на левые айпи адреса, да и сам касперский иногда непонятно куда ломится.. )

    Добавлено через 29 минут

    останавливаю защиту КИСа, вырубаю прогу, а все равно висит неубиваемый системный процесс avp.exe, который всю систему тормозит... мож трояны покоцали Каспера и его надо снести и заново поставить? или кто-то маскируется под него...
    Последний раз редактировалось TCT; 22.12.2010 в 17:28. Причина: Добавлено

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    KIS и Outpost нельзя ставить на одну систему. Удалите Outpost, от этого все тормоза.
    Paula rhei.
    Поддержать проект можно тут

  10. #9
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23
    Аутпост снес, стало чуточку полегче, но все равно avp.exe грузит систему очень сильно (50-70%), бывают затыки в пару секунд, когда как-будто виснет все, причем я заметил что процесса avp.exe 2 штуки, один системный, другой пользовательский, их и должно быть 2?
    программулька Malwarebytes' Anti-Malware стала виснуть каждый раз при запуске, чего раньше не наблюдалось...

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    mbam также удалите, эта утилита для временной проверки и не должна быть постоянно в системе. Возможно после этого тормоза пропадут.
    Paula rhei.
    Поддержать проект можно тут

  12. #11
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23
    спасибо, тормоза вроде с вашей помощью победил, не могу только победить хрень, которая мне на сайты ифреймы прописывает (( полтора дня все было нормально, я уж обрадовался, а понадобилось войти в админку на сайте провайдера и закачать несколько файлов по фтп через тотал командер, как через некоторое время снова бяка на сайтах. в самом командере я пароль не храню, почти каждый день меняю пароль, на фтп поставил ограничение по для входа по айпи и все равно как-то прокрадывается это все... помогите, пожалуйста

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Проверим уязвимости.
    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
    Paula rhei.
    Поддержать проект можно тут

  14. #13
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23
    проверил свою старую системку, было интересно, спасибо )

    прилагаю файл, в нем не смог только установить "Накопительное обновление безопасности для браузера Internet Explorer".

    вообще, у меня с Эксплолером давняя проблема, он старой версии очень, а новые, например, 7-ой система отказывается ставить. Скачал это обновление безопасности, оно при запуске выдало ошибку. Попутно вспомнил что я сегодня как раз случайно запускал эсплорер, кликнув по ссылке в письме - он с чего-то вдруг стал браузером по умолчанию. Глянул логи предупреждений Касперского, там Эксплолер фигурировал. В итоге плюнул и тупо удалил папку эксплорера из програмс-файлс и поставил везде по умолчанию Оперу. Другого выхода не нашел, все равно им не пользуюсь+не обновишь, чего дырку такую держать. Не знаю правильно сделал или нет )
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23
    Вчера залатал дырки, а с утра снова сайтики заражены (
    Посмотрел логи Касперского за ночь, он постоянно находил:


    я эти файлы не вижу и не могу удалить, хотя включено везде отображение скрытых...
    еще меня смущает файл

    я его вижу, но не могу удалить, пишет что он в настоящее время используется, пробовал удалять при отключенном Касперском- тоже самое
    Подскажите, пожалуйста, как от этих файликов избавиться )

  16. #15
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23
    подскажите, пожалуйста )

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,492
    Вес репутации
    2914
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23
    Присоединяю лог ComboFix'а
    Вложения Вложения

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,492
    Вес репутации
    2914
    c:\windows\System32\xmlprov.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\drivers\tcpz-x86d.sys
    
    Driver::
    TCPZ
    WaigSvc
    
    Folder::
    c:\windows\system32\t
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "WaigSvc"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    Установите все новые обновления для Windows

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    23
    А как быть с двумя зараженными файликами, которые касперский видит постоянно, но не может удалить?

    пару дней вроде проблем не было, а вечерком опять сайты заразились (
    может по-новой все логи сделать?
    Вложения Вложения

  21. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,492
    Вес репутации
    2914
    Цитата Сообщение от thyrex Посмотреть сообщение
    Установите все новые обновления для Windows
    Сделано?

    Цитата Сообщение от thyrex Посмотреть сообщение
    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Для кого было написано?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) TCT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 09.01.2012, 03:28
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 09:29
    3. Толпа троянов и вирусов.
      От Garfeild в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 05:39
    4. Стая вирусов и троянов
      От Vanya666 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 04:15
    5. Подскажите e-book по теме вирусов и троянов
      От Marielito07 в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 20.02.2008, 14:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00864 seconds with 22 queries