Показано с 1 по 12 из 12.

Сегодня закачал где-то трояна. Мой NOD32 его тут же засек, но вылечить не смог (заявка № 9672)

  1. #1
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    64

    Exclamation Сегодня закачал где-то трояна. Мой NOD32 его тут же засек, но вылечить не смог

    Система стала работать неадекватно, браузеры не открывались из-за ненайденных dll-ов. При попытке перезагрузки Windows перестал нормально загружаться: ни в обычном режиме, ни в последней удачной конфигурации. Удалось победить его терпением, и через Safe Mode (загружался минут 15) получить доступ к восстановлению системы. Оно помогло привести систему в чувство, но вирус остался.
    С помощью AVZ я его и нашел и вроде бы вычистил. Прилагаю логи. Обратите внимание на подозрительные файлы. Заранее спасибо за рекомендации, что с этим делать
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Обратите внимание на подозрительные файлы.
    Обратите внимание, что Ваша версия AVZ устарела Скачайте новую версию и сделайте логи ещё раз. Текущая версия 4.25

  4. #3
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    64
    Пересканировал AVZ 4.25, а заодно и HighjackThis.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\DOWNLO~1\webeye.ocx','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\zinst.dll','');
     QuarantineFile('C:\WINDOWS\System32\twext.dll','');
     QuarantineFile('osk.exe','');
     QuarantineFile('cscdll.dll','');
     QuarantineFile('c:\WINDOWS\iedll.exe','');
     QuarantineFile('Narrator.exe','');
     QuarantineFile('Magnify.exe','');
     QuarantineFile('C:\DOCUME~1\ИЛЬЯ\LOCALS~1\Temp\Rar$EX01.282\Talking Clock 152\tkclk151.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\btserial.sys','');
     QuarantineFile('c:\windows\system32\rpcss.dll','');
     QuarantineFile('C:\WINDOWS\system32\kernel32.dll','');
     QuarantineFile('C:\WINDOWS\system32\hpzlnt12.dll','');
     QuarantineFile('c:\windows\system32\es.dll','');
     QuarantineFile('C:\WINDOWS\system32\comsvcs.dll','');
     QuarantineFile('C:\WINDOWS\system32\colbact.DLL','');
     QuarantineFile('C:\WINDOWS\System32\CLBCATQ.DLL','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     BC_ImportQuarantineList;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
    Прикрепите файл boot_clr.log из папки AVZ к своему следующему сообщению. Настройки прокси-сервера сами прописывали?
    Последний раз редактировалось Макcим; 12.05.2007 в 23:18.

  6. #5
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    64
    Скрипт выполнил и карантин прислал по правилам. Вот подтверждение:
    Результат загрузки

    Файл сохранён как/td> 070512_235108_virus_46461aac1ca32.zip
    Размер файла 2438178
    MD5 42b94e7e188844d2d2cebf22ce8016ab

    Не помню, чтобы сам прописывал настройки прокси-сервера, т.к. уже год подключаюсь по ADSL, где прокси не требуется.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Значит все это время весь Ваш трафик шёл через чей-то прокси. "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.5.0.2:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

  8. #7
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    64
    Пофиксил, перезагрузился. Сейчас вроде в свойствах подключения IE прокси-сервер не прописан. Не нужно ли просканировать все еще раз?

  9. #8
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    64
    Цитата Сообщение от tejem Посмотреть сообщение
    Пофиксил, перезагрузился. Сейчас вроде в свойствах подключения IE прокси-сервер не прописан. Не нужно ли просканировать все еще раз?
    Извиняюсь, не заметил сразу, что Вы просили прислать Boot_clr.log из AVZ. Я бы рад, но там протокол сохраняется под именем либо avz-log.txt, либо virusinfo_syscheck.htm/zip

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Здравствуйте,

    avz00001.dta - Trojan-Spy.Win32.Goldun.ms

    Детектирование файла будет добавлено в следующее обновление.

    avz00002.dta, avz00003.dta, avz00004.dta, avz00005.dta, avz00006.dta, avz00007.dta, avz00008.dta, avz00009.dta, avz00010.dta, avz00011.dta, avz00012.dta, avz00013.dta, avz00014.dta, avz00015.dta, avz00016.dta, avz00017.dta, avz00018.dta

    Вредоносный код в файлах не обнаружен.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Детектируемый файл в папке System Volume Information
    Если не отключали восстановление системы, отключите сейчас.

  12. #11
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    18
    Вес репутации
    64
    Цитата Сообщение от anton_dr Посмотреть сообщение
    Детектируемый файл в папке System Volume Information
    Если не отключали восстановление системы, отключите сейчас.
    Отключил восстановление и вычистил этого трояна. Большое спасибо, MaXim и anton_dr, за немедленную реакцию и помощь.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\system volume information\\_restore{574ce958-9e6d-43f1-a728-46173bd4fad1}\\rp190\\a0072873.exe - Trojan.Win32.Patched.w


  • Уважаемый(ая) tejem, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 30.03.2009, 14:01
    2. nod32 нашел podnuha. Убить не смог ни он ни DrWeb
      От mega в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 09:37
    3. Троянчик засел сегодня, помогите изжить гада!
      От Тошкин в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 02:09
    4. SpyBot S&D не смог удалить трояна
      От kerom в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.10.2008, 18:08
    5. Не смог вылечить до конца
      От monia в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.11.2007, 15:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00465 seconds with 20 queries