Printable View
Троян Win32/Injektor.AAU
После входа в интернет Нод32 обнаружил троян, жму "заветшить", появляеться снова, затем несколько червей и вирусов.
Глубокий анализ Нод32 этот троян не обнаружил:(. А AVZ только те, что были скачаны с интернета. Самое главное, что через некоторое время (примерно 2-5 мин) происходит разьединение с интернетом, хотя в панели задач значок присутствует. Такчто даже обновление антивирусных баз данных скачать проблематично.
Вот логи AVZ и HijackThis.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\ncdrive32.exe','');
QuarantineFile('E:\RECYCLER\S-1-5-21-5130576560-1637618362-650604787-8449\wnzip32.exe','');
QuarantineFile('E:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('E:\WINDOWS\usb_magr.exe','');
QuarantineFile('E:\WINDOWS\usb_drv.exe','');
DeleteFile('E:\RECYCLER\S-1-5-21-5130576560-1637618362-650604787-8449\wnzip32.exe');
DeleteFile('E:\WINDOWS\ncdrive32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=56987[/url]).
Повторите п.2 раздела Диагностика и сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
Вот
virus.zip удалите из вложений и загрузите согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Где лог gmer, который запрашивался дополнительно?
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\windows\usb_magr.exe');
QuarantineFile('e:\windows\usb_magr.exe','');
TerminateProcessByName('e:\windows\usb_drv.exe');
QuarantineFile('e:\windows\usb_drv.exe','');
DeleteFile('e:\windows\usb_drv.exe');
DeleteFile('e:\windows\usb_magr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Bus device');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Serial Bus device');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Вот Gmer и логи.
Сохраните текст ниже как [B]cleanup.bat[/B] в ту же папку, где находится gmer:
[CODE]j9c17pgw.exe -del service aczczyxj
j9c17pgw.exe -del file "E:\WINDOWS\system32\nwyzxwi.dll"
j9c17pgw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aczczyxj"
j9c17pgw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\aczczyxj"
j9c17pgw.exe -reboot[/CODE]И запустите cleanup.bat. Компьютер перезагрузится!
Ждем свежий лог гмер.
вот лог.
ЗЫ: Теперь Нод32 не видет ни вирусов ни червей, а проблема осталась, интернет сеть перестает работать через некоторое время.
Батник запускали?
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('E:\WINDOWS\system32\nwyzxwi.dll','');
QuarantineFile('E:\WINDOWS\innounp.exe','');
DeleteFile('E:\WINDOWS\innounp.exe');
DeleteFile('E:\WINDOWS\system32\nwyzxwi.dll');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.+ лог gmer
пишет, что ошибка в скрипте (ошибка ';' extendet в позиции 15:1)
поправил
gmer будет позже. Если это трудноизлечимо, может легче снести виндоуз и установить заного?
[QUOTE='Rozerlef;485527']Если это трудноизлечимо, может легче снести виндоуз и установить заного? [/QUOTE]
Спокойно! Дело близится к завершению.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('e:\windows\msdriver32.exe');
QuarantineFile('e:\windows\msdriver32.exe','');
DeleteFile('e:\windows\msdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи AVZ.
+
обновите базы своего антивируса, а то не успеваем одно прибить, как вы другое подхватываете. Если не обновляется, то замените его на что-то более работающее, например триал Касперского.
Установил Касперсого, обновил.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\autorun.inf','');
DeleteFile('J:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новый лог [B]virusinfo_syscheck.zip[/B]
Все, что мешалось удалил, мегаграц!
Ничего подозрительного не увидел
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]87[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]