Printable View
Помогите обезвредить троян, пожалуйста! Недавно у меня на компьютере самовольно установилась программа SpyDawn, а вместе с ней постоянно стало вылезать сообщение, что на компьютере обнаружены опасные программы. SpyDawn удалил (вроде бы), но сообщение все равно выскакивает! Прошелся касперским, CureIt'ом, AVZ - не помогло.
Да, есть подозрение что это не единственный троян на машине, потому что через Wi-Fi соединение идет какой-то лишний траффик.
AVZ -> Файл -> Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('appmgmts.dll','');
QuarantineFile('C:\WINDOWS\system32\geplxss.dll','');
QuarantineFile('C:\WINDOWS\system32\cmkrt.dll','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_8333_quarantine.zip');
RebootWindows(true);
end.[/CODE]
После перезагрузки, в папке AVZ найти файл [B]virusinfo_8333_quarantine.zip[/B] и прислать его нам, через эту [URL="http://virusinfo.info/upload_virus.php?tid=8333"]форму[/URL].
Выслал файлы в карантине в соответствии с правилами.
[QUOTE=Skrim;99000]Выслал файлы в карантине в соответствии с правилами.[/QUOTE]
Файлы пришли, там два зловреда:
Settings\partnership.dll = Trojan-Proxy.Win32.Xorpix.ar
system32\geplxss.dll = Trojan.Win32.Dialer.cs
cmkrt.dll - тоже зловред
далее необходимо выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\geplxss.dll');
DeleteFile('C:\WINDOWS\system32\cmkrt.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После этого сдалайте новые логи по правилам - для контроля и изучения, что еще могло остаться
Ура, значок в трее исчез! СПАСИБО!!! НО! Из сети продолжает что-то качаться, причем, как показывает программа DUMETER, в нехилых масштабах - скорость загрузки порой доходит до 15 кб/сек, а отгрузки - до 18 (то есть съедает больше половины моего траффика)! Поэтому многие сайты не открываются, или открываются через раз (тот же viruslist.ru, к примеру). Помогите разобраться, пожалуйста, раньше такого не было.
В связи с чем высылаю обновленные логи:
[QUOTE=Skrim;99004]Ура, значок в трее исчез! СПАСИБО!!! НО! Из сети продолжает что-то качаться, причем, как показывает программа DUMETER, в нехилых масштабах - скорость загрузки порой доходит до 15 кб/сек, а отгрузки - до 18 (то есть съедает больше половины моего траффика)! Поэтому многие сайты не открываются, или открываются через раз (тот же viruslist.ru, к примеру). Помогите разобраться, пожалуйста, раньше такого не было.
В связи с чем высылаю обновленные логи:[/QUOTE]
Я поэтому и просил повторные логи - у вас "зверинец" на ПК настоящий, его лучше лечит в несколько приемов. Итак, вторая операция - выполните скрипт:
[code]
begin
// Постановка задания
BC_QrSvc('ntio256');
BC_DeleteSvc('ntio256');
BC_DeleteFile('C:\WINDOWS\system32\protector.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntio256.sys');
BC_DeleteFile('C:\WINDOWS\Temp\huftalvy.exe');
BC_DeleteFile('C:\WINDOWS\Temp\famtltxs.exe');
BC_DeleteFile('C:\Documents and Settings\MiB\Local Settings\Temp\maindll.dll');
// Активация
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.
[/code]
После этого пришлите содержимое карантина и сделайте логи заново. И заодно посмотрите, пропадет паразитный трафик или нет
Ура-ура-ура, паразитный трафик исчез! Теперь инет тоже работает как надо:) Уфф, ну теперь видимых претензий к системе вроде бы нет, но на всякий случай снова высылаю логи и содержимое карантина.
Заодно, чтобы такого "зверинца" больше не повторилось, посоветуйте пожалуйста антивирус, который :
а) был бы не требовательным к ресурсам (с касперским, например, у меня ОЧЕНЬ СИЛЬНО замедлялась загрузка, поэтому почти все его компоненты защиты пришлось отключить);
б)наличествовала бесплатная или триал-версия;
и файрволл
а) тоже не жрал слишком много ресурсов(сейчас стоит встроенный в модем Zyxel P660HTW, но думается, его недостаточно)
б)была бы бесплатная или триал-версия
в)простой в настройке, потому что в сетевых технологиях я пока не очень разбираюсь
Еще раз спасибо за оперативность! :)
[url]http://www.avast.com/eng/download-avast-home.html[/url] - из бесплатных один из лучших;
[url]http://www.zonealarm.com/store/content/company/products/trial_zaFamily/trial_zaFamily.jsp?dc=12bms&ctry=US&lang=en[/url]
ZoneAlarm®
Free Version , если хочется получить PRO (очень мощный фаервол, один из лучших) то сюда - предварительно зарегистрировавшись [url]http://forum.ru-board.com/topic.cgi?forum=35&topic=40#1[/url]
По логам вроде бы все нормально, но Олег скажет окончательно, да советую поменять Internet Explorer на 7 версию.
Все, побежал качать! :)
[QUOTE=Skrim;99032]Все, побежал качать! :)[/QUOTE]
Зверь убился. Я советую напоследок выполнить скрипт:
[code]
begin
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AegisP.sys','');
QuarantineFile('C:\WINDOWS\system32\main.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\s24trans.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe','');
ClearHostsFile;
end.
[/code]
и прислать то, что накопилось в карантине согласно правилам (там от скрипта из моего поста #6 что-то могло попасть, и от этого). Кроме того, этот скрипт зачитстит файл Hosts, который попртили зловреды.
Скрипт выполнил, но я раньше поставил Avast, и он при проверке системы успел покопаться в карантине AVZ, нашел там кучу вирей и удалил их, поэтому AVZ при выполнении скрипта написал в протоколе вот что (хотя может так и должно быть?):
---------------------------------------------------------------------
Файл "C:\WINDOWS\system32\DRIVERS\AegisP.sys" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\AegisP.sys
Файл "C:\WINDOWS\system32\main.sys" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\system32\main.sys
Файл "C:\WINDOWS\system32\DRIVERS\s24trans.sys" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\s24trans.sys
Ошибка карантина файла "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
-----------------------------------------------------------------------
Но все равно посылаю карантин что получилось.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\документы\\settings\\partnership.dll - [B]Trojan.Win32.Agent.oh[/B] (DrWEB: BackDoor.Uragan)[*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\0abcv5op\\60787[1].exe - [B]SpamTool.Win32.Agent.r[/B] (DrWEB: Trojan.Qhost.45065)[*] c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\0abcv5op\\60787[2].exe - [B]SpamTool.Win32.Agent.r[/B] (DrWEB: Trojan.Qhost.45065)[*] c:\\windows\\system32\\cmkrt.dll - [B]SpamTool.Win32.Agent.r[/B] (DrWEB: Trojan.Qhost.45065)[*] c:\\windows\\system32\\geplxss.dll - [B]Trojan.Win32.Dialer.cs[/B] (DrWEB: Trojan.Fakealert.258)[*] c:\\windows\\system32\\main.sys - [B]Trojan.Win32.Agent.ady[/B] (DrWEB: Trojan.NtRootKit.222)[*] c:\\windows\\system32\\ntio256.sys - [B]Rootkit.Win32.Agent.cf[/B] (DrWEB: Trojan.Sklog)[*] c:\\windows\\system32\\protector.exe - [B]Trojan-Proxy.Win32.Wopla.ac[/B] (DrWEB: Trojan.Sklog)[*] c:\\windows\\temp\\famtltxs.exe - [B]SpamTool.Win32.Agent.r[/B] (DrWEB: Trojan.Qhost.45065)[*] c:\\windows\\temp\\huftalvy.exe - [B]SpamTool.Win32.Agent.r[/B] (DrWEB: Trojan.Qhost.45065)[/LIST][/LIST]