-
Нашествие троянов
Доброго времени суток,
у меня следующая ситуация, на компе стоит лицензионный ZoneAlarm Security Suite с защитой браузера ForceField. До недавнего времени проблемы с безопастностью осутствовали, но после чего на компьютер скачали что-то непонятное с интернета (компом пользуюсь не только я), начались проблемы. Постоянно какие-то трояны ZoneAlarm обнаруживает и вроде и карантинит и лечит и удаляет что-то, но видно до конца проблему не решает. Компьютер работает в целом нормально, но были случаи что интернет не работает или же браузер при открытие пересылает сразу же на какой-то левый сайт.
Я произвел все действие по пунктам для решение проблем, при последней проверке ZoneAlarm-ом, он нашел 16 вредоносных обьектов с такими прекрасными названиями как:
RarePacker.Multi.Generic
Trojan.Win32.Buzus.cbgm.
P2P-Worm.Win32.Palevo.jpm.
Trojan.Win32.Delf.owo.
Trojan.Win32.Crypt.bgj.
P2P-Worm.Win32.Palevo.jov.
Trojan-Proxy.Win32.Agent.bub.
ZoneAlarm опять же утверждал что все нужное сделал и все уже в порядке, после этого в безопасном режиме AVPTool ничего не нашел, но все же хочется Вас попросить взглянуть на логи.
Заранее Спасибо
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-3925303601-0839621597-936045614-7719\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3925303601-0839621597-936045614-7719\csvcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811','*.*',true);
DeleteFileMask('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859','*.*',true);
DeleteFileMask('C:\RECYCLER\S-1-5-21-3925303601-0839621597-936045614-7719','*.*',true);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-24SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
Я выполнил прописанные пункты и сделал новые логи. Также заметил что Ваш сайт и сайты с похожим содержанием на проблемном компе не грузятся, пробовал во всех браузерах. До решение проблем зараженым компом никто не пользуется.
Жду дальнейших инструкций.
-
Карантин не прислали, почему?
-
Извините если до меня тяжело доходит, но вроде карантин не запрашивали или же я сделал что-то не так в процессе диагностики?
Подскажите пожалуйста.
-
[QUOTE=Formuly;491280]Извините если до меня тяжело доходит, но вроде карантин не запрашивали.[/QUOTE]
Действительно не запрашивали - моё упущение. А про Бонжур писал, а Вы не удалили.
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\jcdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
DeleteFile('C:\WINDOWS\jcdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
Вложений: 3
Bonjoura нигде не нахожу, удалял через Панель управления.
Через диспетчер устройств удалил одно неизвестное устройство.
Очистил кэш итд, загрузил карантин, выкладываю новые логи.
Жду дальнейших инструкций.
-
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('9new.exe','');
DeleteFile('%windir%\9new.exe');
DeleteFile('%windir%\system32\9new.exe');
DeleteFile('%windir%\system32\drivers\9new.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce');
DeleteService('bugkgehx');
DeleteService('wdwjgnkai');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\bugkgehx');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\wdwjgnkai');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL].
-
Выполнил скрипт, закачал карантин и прикрепил лог GMER.
Жду дальнейших инструкций.
-
- Выполните код в [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL].
[CODE]t8k6ugzq.exe -del file "C:\WINDOWS\system32\jpvwosp.dll"
t8k6ugzq.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bugkgehx"
t8k6ugzq.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wdwjgnkai"
t8k6ugzq.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bugkgehx"
t8k6ugzq.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\wdwjgnkai"
t8k6ugzq.exe -reboot[/CODE]
После перезагрузки:
- Повторите лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
Пробовал выполнять код в GMERе по правилам, до конца так и не понял выполнился он нормально или нет, после нажатия кнопки Run во второй командной строке (та что снизу) появляется такой текст и ничего больше не происходит:
"t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
"t8k6ugzq.exe" *¥ ï¥âáï ¢*ãâà¥**¥© ¨«¨ ¢*¥è*¥©
ª®¬ *¤®©, ¨á¯®«*塞®© ¯à®£à ¬¬®© ¨«¨ ¯ ª¥â*ë¬ ä ©«®¬.
Пробовал несколько раз, даже набрал код вручную, результат тот же. В любом случае после перезагрузки сделал диагностику и новый GMER лог, которые и прикрепил к данному сообщению.
-
Сделайте лог полного сканирования [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].
-
Выполнил скан, выкладываю лог.
-
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MMZY2LCS\tvqovvr[1].jpg','');
QuarantineFile('C:\WINDOWS\system32\jpvwosp.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
-
Выполнил успешно скрипт, карантин закачал.
-
Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MMZY2LCS\tvqovvr[1].jpg');
DeleteFile('C:\WINDOWS\system32\jpvwosp.dll');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
-
Net-Worm.Win32.Kido.ih был в карантине. Значит, надо делать проверку КидоКиллером + устанавливать необходимые заплатки.
-
Так что же делать? Какие действие сперва? Что это за заплатки?
-
[URL="http://support.kaspersky.ru/faq/?qid=208636215"]KidoKiller + инстр-я на сайте Касперского[/URL]
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\mmzy2lcs\tvqovvr[1].jpg - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AL worm, AVAST4: Win32:Confi [Wrm] )[*] c:\windows\system32\jpvwosp.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AL worm, AVAST4: Win32:Confi [Wrm] )[/LIST][/LIST]
Page generated in 0.00108 seconds with 10 queries