Троян - zlob

Printable View

13.09.2008, 21:42
Rav106

Вложений: 3

Троян - zlob

Добрый вечер.
Подцепил вирус - zlob.pornadvertiser.ba, которые периодически даёт знать о себе появляющимися сообщениями, о заражении системы и просит скачать якобы антивирус по ссылке. Также заблокирован Task Manager, на рабочем столе постоянно появляются ярлыки на сайты, в трее висит иконка с сообщением Windows Security Alert, IE7 после работы пары минут закрывается. В целом работоспособность системы замедлилась.

Провёл диагностику системы различными антивирусами и утилитами – AVP, Norton AntiVirus, SpyHunter и тд. Были найдены и удалены вирусы но проблема осталась, изменений никаких нету.
Прошу по возможности помочь с данной проблемой.
13.09.2008, 21:53
Rene-gad

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не закрыты все программы
- Не выключен установленный антивирус.[/COLOR]

Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Спасибо за понимание.[/B]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\msauc.exe','');
QuarantineFile('c:\windows\system32\winupdate.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
DelCLSID('{EA3775F2-28BE-11D3-9C8D-00105A24ED29}');
QuarantineFile('C:\Documents and Settings\Vadim\Local Settings\Temp\IcnOvrly.dll','');
QuarantineFile('C:\windows\iexplorer.exe','');
DeleteFile('C:\windows\iexplorer.exe');
DeleteFile('C:\Documents and Settings\Vadim\Local Settings\Temp\IcnOvrly.dll');
DeleteFile('C:\WINDOWS\system32\drivers\xinstall.sys');
DeleteFile('c:\windows\system32\winupdate.exe');
DeleteFile('c:\windows\msauc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
14.09.2008, 00:52
Rav106

Вложений: 3

Проделал всё вышесказанное.
В принципе на первый взгляд исчезли все перечисленные мной проблемы кроме одной, по-прежнему немому запустить Task Manager, так как он остаётся заблокирован.

Логи после лечения. С отключенным Интернетом и антивирусом.

Заметил, что после 1-2ч работы компьютера, стали вылетать "синие экраны смерти". Сначала у меня это особого внимания не привлекло но повторное появление заставило задуматься. Случается это во время работы IE7 и Firefox.
14.09.2008, 11:05
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\\SystemRoot\system32\DRIVERS\sr.sys','');
QuarantineFile('C:\windows\system32\drivers\RRRRNVNV.sys','');
QuarantineFile('D:\CD Games\Lineage II\system\npkcrypt.sys','');
DeleteService('sr');
DeleteService('npkcrypt');
DeleteService('RRRRNVNV');
DeleteFile('C:\windows\system32\drivers\RRRRNVNV.sys');
DeleteFile('D:\CD Games\Lineage II\system\npkcrypt.sys');
DeleteFile('C:\windows\\SystemRoot\system32\DRIVERS\sr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sr');
BC_DeleteSvc('npkcrypt');
BC_DeleteSvc('RRRRNVNV');
executerepair(11);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
14.09.2008, 15:48
Rav106

Вложений: 3

После выполнения скрипта:
- При запуске windows (во время синего экрана с приветствием) начало появляется пустое окошко с кнопкой ОК, после нажатия продолжается запуск
- Участились случаи "синего экрана смерти" предполагаю, что связано с каким-то драйвером IE7, при копирование какова-либо адреса в поля адрес стабильно появляется "синий экран"
- Не могу теперь включить обратно Системное восстановление опять же как я понял проблемы с каким-то драйвером.
14.09.2008, 15:53
Rene-gad

[QUOTE=Rav106;283466]
- Не могу теперь включить обратно Системное восстановление опять же .[/QUOTE]А кто Вам сказал, что его надо включать? Выполните еще пункт 2 правил.
14.09.2008, 15:54
V_Bond

деисталируйте один из антивирусов
выполните скрипт
[code]
begin
QuarantineFile('C:\windows\system32\chxrmsrv.exe','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
15.09.2008, 16:04
Rav106

[COLOR=black]Хотелось бы услышать остались ли какие-либо остатки от вируса или он полностью обезврежен?[/COLOR]

[COLOR=black]Прислал карантин всех подозрительных файлов и выполнил "пункт 2 правил" но по прежнему остаются перечисленные выше проблемы , особенно напрягает очень частые выпадения "синего экрана смерти" во время работы браузеров, ссылаясь на какой-то файл afd.sys[/COLOR]
15.09.2008, 19:55
V_Bond

похоже у вас проблемы с сетевой картой .... для начала попробуйте обновить драйвера
22.02.2009, 07:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]39[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\iexplorer.exe - [B]Worm.Win32.AutoRun.ntb[/B] (DrWEB: Trojan.DownLoad.4201)[*] c:\\windows\\msauc.exe - [B]Trojan-Downloader.Win32.Agent.ahcx[/B] (DrWEB: Trojan.PWS.ICQSniff.25)[*] c:\\windows\\system32\\drivers\\rrrrnvnv.sys - [B]Rootkit.Win32.Agent.egh[/B] (DrWEB: Trojan.Sentinel.141)[*] c:\\windows\\system32\\winupdate.exe - [B]Trojan.Win32.FraudPack.hco[/B][/LIST][/LIST]