Подозрение на вирус

Printable View

25.07.2010, 22:13
Frukt

Подозрение на вирус

Было так: Антивирус (нод32) перестал обновляться, писал что то вроде "неможет обновить", я по своему простодушию забил на это, собирался всё равно сносить антивирь. Через пару дней вышел в инет, НОД32 показал что поймал троян и изолировал, ну лан - работает, через минуту НОД32 начал выдавать сообщения о заражённости трояном dll-ких файлов в папке system32, непоню сколько он перечислил.
После этого немог обновить ни АВЗ, ни НОД, ни Гурейта, ни перейти на ваш сайт. Удалил с помощью АВЗ ( не с первого раза) статические маршруты, АВЗ и НОД обновились, проверка ничего не дала. Что было не пойму.
Да, ещё , при попытки загрузки утилиты гурейта или авп тул открывает страницу с милионом разных символов, загрузка не идёт.
Не могу логи вложить....

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Чот то никак не вложу логи, нажимаю обзор в "упровление вложениями" , курсор показывает что чото грузится, но ничего не происходит.....
25.07.2010, 22:14
AndreyKa

Загрузите логи на какой-нибудь файлообменник. Суда приведите ссылки на них.
25.07.2010, 22:25
Frukt

Вложений: 3

Перегрузился - помогло вот логи
25.07.2010, 23:04
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\system32\ropcwp.exe','');
QuarantineFile('C:\WINDOWS\system32\7b1995d3.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\7b1995d3.exe');
DeleteFile('C:\WINDOWS\system32\ropcwp.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
26.07.2010, 11:25
Frukt

Карантин отправил, вроде дошёл. Новый лог прикладываю.
26.07.2010, 11:34
Frukt

Да, нет доступа к реестру через regedit, пишет ненайден ACLUI.dll
26.07.2010, 12:44
AndreyKa

Вложений: 1

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
QuarantineFile('C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
QuarantineFile('C:\Documents and Settings\LocalService\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\Documents and Settings\LocalService\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Приложенный файл распакуйте в C:\WINDOWS\system32
26.07.2010, 21:13
Frukt

Карантин скинул, вот новый лог:
26.07.2010, 21:37
Frukt

Приложеный фаил распаковал, реестр доступен.
27.07.2010, 07:25
AndreyKa

Выполните в AVZ скрипт из файла [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл avz_log.txt из под-папки [b]log[/b].
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
28.07.2010, 10:19
Frukt

Всё сделал вот лог. У меня чисто? Ещё вопрос, через оперу немогу провести закачки, хотябы по вашим ссылкам в логах, открывает страницу с символами и ничего не качает, закачал через экспловер, что с оперой?
28.07.2010, 17:14
Frukt

авз находит файл в папке system32\sol.exe, пишет: подозрение на файл с подозрительным именем (СН). Что это? Может заархивировать и скинуть вам...
28.07.2010, 17:48
AndreyKa

Если хотите, присылайте. Но я уверен, что файл чист.
28.07.2010, 21:05
Frukt

Ну, если вы уверены..... Спасибо за помощь в лечении.
29.07.2010, 21:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\пользователь\главное меню\программы\автозагрузка\wwwznv32.exe - [B]Trojan.Win32.Jorik.Bredolab.cc[/B] ( DrWEB: Trojan.DownLoad2.13818, BitDefender: Gen:Variant.Ursnif.19, AVAST4: Win32:Crypt-HCS [Drp] )[*] c:\windows\system32\ropcwp.exe - [B]Trojan.Win32.Jorik.Shiz.ca[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aaUlS0ai, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\7b1995d3.exe - [B]Backdoor.Win32.Shiz.ne[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-BW [Cryp] )[/LIST][/LIST]