Опять троян

Printable View

13.11.2009, 15:14
dimkont

Опять троян

Здравствуйте! Проблема такая, антивирус находит трояна, но удалить его не может. Когда включен интернет пытается зайти на какой-то сайт, иногда проподает звук.. Это пока то что удалось заметить...
13.11.2009, 15:24
snifer67

Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('c:\windows\system32\7e.tmp','');
TerminateProcessByName('c:\windows\system32\7e.tmp');
QuarantineFile('C:\WINDOWS\Temp\VRT8.tmp','');
QuarantineFile('C:\WINDOWS\Temp\VRT1F8.tmp','');
QuarantineFile('C:\WINDOWS\Temp\VRT1F5.tmp','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\ipismd.exe','');
QuarantineFile('C:\WINDOWS\system32\klpllsm.exe','');
QuarantineFile('C:\WINDOWS\system32\perrdlm.exe','');
QuarantineFile('C:\WINDOWS\system32\qpwosl.exe','');
QuarantineFile('C:\WINDOWS\system32\C7.tmp','');
QuarantineFile('C:\WINDOWS\system32\A3.tmp','');
QuarantineFile('C:\WINDOWS\system32\A.tmp','');
QuarantineFile('C:\WINDOWS\system32\7C.tmp','');
QuarantineFile('C:\WINDOWS\system32\4C.tmp','');
QuarantineFile('C:\WINDOWS\system32\46.tmp','');
QuarantineFile('C:\WINDOWS\system32\12.tmp','');
QuarantineFile('C:\WINDOWS\system32\110.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7591400047-9397218963-664423378-4653\yv8g67.exe','');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\7e.tmp');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7591400047-9397218963-664423378-4653\yv8g67.exe');
DeleteFile('C:\WINDOWS\system32\110.tmp');
DeleteFile('C:\WINDOWS\system32\12.tmp');
DeleteFile('C:\WINDOWS\system32\46.tmp');
DeleteFile('C:\WINDOWS\system32\4C.tmp');
DeleteFile('C:\WINDOWS\system32\7C.tmp');
DeleteFile('C:\WINDOWS\system32\A.tmp');
DeleteFile('C:\WINDOWS\system32\A3.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7272');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','14185');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','32658');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','10396');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','10173');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','28108');
DeleteFile('C:\WINDOWS\system32\C7.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','18668');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\Temp\VRT1F5.tmp');
DeleteFile('C:\WINDOWS\Temp\VRT1F8.tmp');
DeleteFile('C:\WINDOWS\Temp\VRT8.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Потом сюда пролечиваться [url]http://virusinfo.info/showthread.php?t=15927[/url] после лечения сделайте новые логи.
14.11.2009, 07:55
dimkont

Пролечил систему cureit-ом, в безопасном режиме нашел более сотни зараженных файлов win32.virut.56 и другие заразы по мелочи. В обычном нашел три. Заметил только что в автозагрузке порядка 10-ти непонятных программ. Удалить их не получается, они вновь вылазят. Да и повторная проверка cureit-ом вновь находит virut!! Вот логи..
14.11.2009, 11:03
snifer67

Пролечитесь этим [url]http://virusinfo.info/showpost.php?p=433671&postcount=3[/url] после лечения сделайте новые логи.
15.11.2009, 11:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-7591400047-9397218963-664423378-4653\yv8g67.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Application.Generic.268659, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\windows\system32\a.tmp - [B]Trojan.Win32.Vilsel.mjw[/B] ( DrWEB: Trojan.Siggen.21791, BitDefender: Trojan.Generic.2666662, AVAST4: Win32:Hupigon-LIE [Trj] )[*] c:\windows\system32\a3.tmp - [B]Trojan.Win32.Vilsel.mjw[/B] ( DrWEB: Trojan.Siggen.21791, BitDefender: Trojan.Generic.2666662, AVAST4: Win32:Hupigon-LIE [Trj] )[*] c:\windows\system32\c7.tmp - [B]Trojan.Win32.Vilsel.mjw[/B] ( DrWEB: Trojan.Siggen.21791, BitDefender: Trojan.Generic.2666662, AVAST4: Win32:Hupigon-LIE [Trj] )[*] c:\windows\system32\ipismd.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\windows\system32\klpllsm.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Trojan.Generic.2674922, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\windows\system32\perrdlm.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Trojan.Generic.2674922, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\windows\system32\qpwosl.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\windows\system32\userini.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56, BitDefender: Application.Generic.268659, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )[*] c:\windows\system32\110.tmp - [B]Trojan.Win32.Vilsel.mjw[/B] ( DrWEB: Trojan.Siggen.21791, BitDefender: Trojan.Generic.2666662, AVAST4: Win32:Hupigon-LIE [Trj] )[*] c:\windows\system32\12.tmp - [B]Trojan.Win32.Vilsel.mjw[/B] ( DrWEB: Trojan.Siggen.21791, BitDefender: Trojan.Generic.2666662, AVAST4: Win32:Hupigon-LIE [Trj] )[*] c:\windows\system32\4c.tmp - [B]Trojan.Win32.Vilsel.mjw[/B] ( DrWEB: Trojan.Siggen.21791, BitDefender: Trojan.Generic.2666662, AVAST4: Win32:Hupigon-LIE [Trj] )[*] c:\windows\system32\46.tmp - [B]Trojan.Win32.Vilsel.mjw[/B] ( DrWEB: Trojan.Siggen.21791, BitDefender: Trojan.Generic.2666662, AVAST4: Win32:Hupigon-LIE [Trj] )[*] c:\windows\system32\7c.tmp - [B]Trojan.Win32.Vilsel.mjw[/B] ( DrWEB: Trojan.Siggen.21791, BitDefender: Trojan.Generic.2666662, AVAST4: Win32:Hupigon-LIE [Trj] )[/LIST][/LIST]