Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Сборник вирусов и троянов (заявка № 94039)

  1. #1
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49

    Exclamation Сборник вирусов и троянов

    Здравствуйте )
    В последнее время какой-то ад с вирусами и троянами на компе ) первый звоночек был с моими сайтами - на них стала прописываться в коде строчка с ифреймом, подгружающая вирусы. Антивирусы молчали. Я делал бэкап, чистил фтп, менял пароли, но все безрезультатно. Для соединений по фтп пользуюсь тотал-коммандером, знаю что его многие ругают, но пароли в нем не храню.
    Потом уже Касперский стал что-то периодически находить, но удалить не может, пытается лечить, перезагружает комп, и опять все по-новой.
    На компьютере стоит лицензионный Касперский+лицензионный Аутпост файрволл, не спасает (
    Прогнал на компе ComboFix, вроде чуть поменьше вирусов стало, но проблемы еще есть. Посмотрите, пожалуйста

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!

    Отключив интернет и защитное ПО, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\waigaprnlib.dll','');
     QuarantineFile('C:\WINDOWS\System32\waigapsclib.dll','');
     QuarantineFile('C:\WINDOWS\system32\6QTSE7CD\F001.exe','');
     DeleteFile('C:\WINDOWS\system32\6QTSE7CD\F001.exe');
     DeleteFile('C:\WINDOWS\System32\waigapsclib.dll');
     DeleteFile('c:\windows\system32\waigaprnlib.dll');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('OpcEnum');
     BC_DeleteSvc('Pml Driver HPZ12');
     BC_DeleteSvc('catchme');
     BC_DeleteSvc('USBAAPL');
     BC_DeleteSvc('ZTEusbmdm6k');
     BC_DeleteSvc('ZTEusbnmea');
     BC_DeleteSvc('BSuWAcmv');
     BC_DeleteSvcReg('WaigSvc');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=94039).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49
    Bratez, спасибо большое за отклик! карантин отправил, только почему-то в нем не оказалось того файла из system32...
    Посмотрите, пожалуйста, новые логи. У меня файрволл еще иногда ругается что налево пакеты уходят и инфа, на этот счет посмотрите тоже, если можно

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Повторяю: Отключите восстановление системы!
    Иначе имеете все шансы восстановить своих троянов в первозданном виде.

    В логах больше ничего плохого не видно.
    Что с проблемами?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49
    Восстановление системы я отключаю, но какая-то зараза на компе ее врубает, плюс врубает автозапуск с дисков и т.д...
    Отключил сейчас снова, стал вручную удалять папку с восстановлением, там остался неудаленным A0005033.exe, пишет что сейчас используется и каспер сразу заверещал, но не удалил его. Каспер вообще ведет себя странно, процесс avp.exe занимает 99% процессорных возможностей, все тормозит...
    А так все проблемы на компе начались с моих сайтов - в них стала прописываться строчка с ифреймом и вирусами внутри, которые загружают или яву или pdf; я бэкапил, менял пароли - все безрезультатно, причем проблема не со всеми сайтами, как это обычно бывает, а только с двумя на аккаунте...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от TCT Посмотреть сообщение
    остался неудаленным A0005033.exe, пишет что сейчас используется и каспер сразу заверещал
    Попробуйте удалять отключив антивирус.

    Не пойму по логам, какая версия касперского у вас? Если KIS, то зачем тогда Аутпост? Может из-за этого тормоза?
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49
    файлик удалился
    да, у меня KIS 11, Аутпост я поставил чтобы выяснить какие программы ломятся в Интернет и могут высылать мои пароли и т.п. Не нашел где в КИСе можно это смотреть. Попробовал сейчас Аутпост выгрузить - не помогло, все равно avp.exe на 99% загружает ЦП. Аупост мне так приложение не показывает, бывают иногда строчки вида "N/A" или "SYSTEM", которые стучатся на левые айпи адреса, да и сам касперский иногда непонятно куда ломится.. )

    Добавлено через 29 минут

    останавливаю защиту КИСа, вырубаю прогу, а все равно висит неубиваемый системный процесс avp.exe, который всю систему тормозит... мож трояны покоцали Каспера и его надо снести и заново поставить? или кто-то маскируется под него...
    Последний раз редактировалось TCT; 22.12.2010 в 17:28. Причина: Добавлено

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    KIS и Outpost нельзя ставить на одну систему. Удалите Outpost, от этого все тормоза.
    Paula rhei.
    Поддержать проект можно тут

  10. #9
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49
    Аутпост снес, стало чуточку полегче, но все равно avp.exe грузит систему очень сильно (50-70%), бывают затыки в пару секунд, когда как-будто виснет все, причем я заметил что процесса avp.exe 2 штуки, один системный, другой пользовательский, их и должно быть 2?
    программулька Malwarebytes' Anti-Malware стала виснуть каждый раз при запуске, чего раньше не наблюдалось...

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    mbam также удалите, эта утилита для временной проверки и не должна быть постоянно в системе. Возможно после этого тормоза пропадут.
    Paula rhei.
    Поддержать проект можно тут

  12. #11
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49
    спасибо, тормоза вроде с вашей помощью победил, не могу только победить хрень, которая мне на сайты ифреймы прописывает (( полтора дня все было нормально, я уж обрадовался, а понадобилось войти в админку на сайте провайдера и закачать несколько файлов по фтп через тотал командер, как через некоторое время снова бяка на сайтах. в самом командере я пароль не храню, почти каждый день меняю пароль, на фтп поставил ограничение по для входа по айпи и все равно как-то прокрадывается это все... помогите, пожалуйста

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Проверим уязвимости.
    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
    Paula rhei.
    Поддержать проект можно тут

  14. #13
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49
    проверил свою старую системку, было интересно, спасибо )

    прилагаю файл, в нем не смог только установить "Накопительное обновление безопасности для браузера Internet Explorer".

    вообще, у меня с Эксплолером давняя проблема, он старой версии очень, а новые, например, 7-ой система отказывается ставить. Скачал это обновление безопасности, оно при запуске выдало ошибку. Попутно вспомнил что я сегодня как раз случайно запускал эсплорер, кликнув по ссылке в письме - он с чего-то вдруг стал браузером по умолчанию. Глянул логи предупреждений Касперского, там Эксплолер фигурировал. В итоге плюнул и тупо удалил папку эксплорера из програмс-файлс и поставил везде по умолчанию Оперу. Другого выхода не нашел, все равно им не пользуюсь+не обновишь, чего дырку такую держать. Не знаю правильно сделал или нет )

  15. #14
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49
    Вчера залатал дырки, а с утра снова сайтики заражены (
    Посмотрел логи Касперского за ночь, он постоянно находил:


    я эти файлы не вижу и не могу удалить, хотя включено везде отображение скрытых...
    еще меня смущает файл

    я его вижу, но не могу удалить, пишет что он в настоящее время используется, пробовал удалять при отключенном Касперском- тоже самое
    Подскажите, пожалуйста, как от этих файликов избавиться )

  16. #15
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49
    подскажите, пожалуйста )

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49
    Присоединяю лог ComboFix'а

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    c:\windows\System32\xmlprov.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\drivers\tcpz-x86d.sys
    
    Driver::
    TCPZ
    WaigSvc
    
    Folder::
    c:\windows\system32\t
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "WaigSvc"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    Установите все новые обновления для Windows

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    09.11.2010
    Сообщений
    21
    Вес репутации
    49
    А как быть с двумя зараженными файликами, которые касперский видит постоянно, но не может удалить?

    пару дней вроде проблем не было, а вечерком опять сайты заразились (
    может по-новой все логи сделать?

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от thyrex Посмотреть сообщение
    Установите все новые обновления для Windows
    Сделано?

    Цитата Сообщение от thyrex Посмотреть сообщение
    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Для кого было написано?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) TCT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 09.01.2012, 03:28
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 09:29
    3. Толпа троянов и вирусов.
      От Garfeild в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 05:39
    4. Стая вирусов и троянов
      От Vanya666 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 04:15
    5. Подскажите e-book по теме вирусов и троянов
      От Marielito07 в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 20.02.2008, 14:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00711 seconds with 19 queries