-
Вложений: 3
Помогите удалить троянов
После "работы" отдного командировочного в офисе, на компутере стали твориться жуткие дела:
очень долго грузится, работать почти невозможно - очень долго грузятся приложения или не грузятся вообще, пропал инет - самое важное...
система: WinXPRuProf SP2+касперский(старый) с необновленными базами...
каспера снес, поставил нортона Сorp 10.0.2.2000 с последними базами.
отключил восстановление системы, удалил ручками системную и пользовательскую папку Temp (содержимое), кэш эксплорера, из системного каталога винды выкинул несколько подозрительных ехе-файликов, проверил систему нортоном - он поудалял кучу разных троянов, но не до конца - при загрузке системы, какая-то зараза все равно вылазит, он ее дословно: "частично вылечил частично поместил в карантин", и при каждой загрузке нортон выдает сообщение об ошибке отправки электронной почты в связи с неправильно настроенной сетью.
после всего проделанного система стала грузиться более-менее, но заставить выйти в инет - не получается, как и не получается до конца удалить всю заразу
PS. кстати, в автозагрузке в реестре сидел [B]adirka . [/B]я отключил его загрузку, а нортон его ваще удалил, но это всего лишь один из... многих присутствовавших :(
-
AVZ -> файл -> Восстановление системы -> поставить галочку на п.14 -> выполнить отмеч. операции.Перегрузиться.
Интернет должен восстановиться, если нет, то. отметить п. 15 и выполнить.Перегрузиться.
[B]скачайте последнею версию авз и [/B]
[B]сделайте новые логи с ней , эти удалите- они старые .[/B]
П.С. Если бы наоборот поставили нового каспера с последними базами меньше бы чистить пришлось.
Отключите наконец систем рестор , а то не будем успевать лечить , опять будет троянов восстанавливать.
-
Вложений: 1
инет за[SIZE=2]р[/SIZE]аботал, с[SIZE=2]п[/SIZE]асибо
-Отключите наконец систем рестор
еще вче[SIZE=2]ра[/SIZE]
[SIZE=2]вот что нашел нортон во время ночной проверки:
Trojan Horse
Trojan.Abwiz.F
Trojan.Packed.13
Trojan.Peacomm
Trojan.Mespam
Adware.SurfSideKick
Adware.ZQuest
Adware.UCMore
SecurityRisk.Downldr
Infostealer
Infostealer.Bzup
[/SIZE]
[SIZE=2]
[/SIZE]
-
[COLOR="Red"]
скачайте последнею версию AVZ 4.24 r4, сделайте новые логи .
Прикрепить [B]Новые логи[/B], а не старые- это так сложно ?
[/COLOR]
-
Вложений: 3
хорошо, хорошо, не посмотрел что вышла новая версия, закачал только обновления :)
кстати качал очень долго - более 40 минут - такое впечатление, что не adsl - а диалап :(
и еще : при открытии IE какая-то зараза открывает еще одно или два окна и пытается куда-то ломиться....
-
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\core.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Пришлите содержимое карантина согласно приложению 3 правил.
-
готово, только кроме core.sys в карантин ничего не попало
-
инет периодически пропадает, для того чтобы достучаться куда-то, вт.ч. и сюда, приходится закрывать эксплорер, открывать новое окно, только после этого можно куда-нибудь попасть.
с машин в сети выхода в инет нету.
даже сайт провайдера не открывается...
-
[QUOTE]готово, только кроме core.sys в карантин ничего не попало[/QUOTE]
Да в общем-то он один и был интересен :)
core.sys - Rootkit.Win32.Agent.eq (по Касперскому), что и требовалось доказать.
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\core.sys');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('core');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
-
Вложений: 2
осталось совсем немного :)
-
[QUOTE]осталось совсем немного[/QUOTE]
Да, только пофиксить в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
[/code]
В логах больше ничего "криминального" нет.
[QUOTE]каспера снес, поставил нортона [/QUOTE]
А вот это зря (IMHO). Как нынче модно говорить, "фтыкать тут":
[url]http://virusinfo.info/showthread.php?t=1376[/url]
-
спасибо за помощь, а по поводу нортона могу сказать следующее: никогда не мог терпеть каспера за его тормоза на любом железе...
самый большой недостаток нортона - обновление антивирусной базы, все остальное - меня устраивает
а зараза которая может обойти как нортона так и каспера появляется регулярно - наша задача регулярно обновляться :)
-
Что ж, на вкус и на цвет...
Если что, заходите еще. Удачи! :)
-
кстати, это уже не в тему, но может подскажете как вот это понимать :
(обнаружил у себя дома)
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll: CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532]
Функция kernel32.dll: CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A]
Функция kernel32.dll: CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E]
Функция kernel32.dll: WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004D4E2]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll: LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE]
Функция ntdll.dll: LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6]
Функция ntdll.dll: NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll: NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll: NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll: NtSetValueKey (338 ) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll: NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll: NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll: NtTerminateProcess (348 ) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll: NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Функция ntdll.dll: ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
Функция ntdll.dll: ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622]
Функция ntdll.dll: ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
Функция ntdll.dll: ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
Функция ntdll.dll: ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
Функция ntdll.dll: ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
Функция ntdll.dll: ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
Функция ntdll.dll: ZwWriteVirtualMemory (1178 ) перехвачена, метод APICodeHijack.JmpTo[1004D766]
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll: CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE]
Функция user32.dll: ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2]
Функция user32.dll: ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA]
Функция user32.dll: DdeConnect (108 ) перехвачена, метод APICodeHijack.JmpTo[1004DBC6]
Функция user32.dll: DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E]
Функция user32.dll: DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76]
Функция user32.dll: DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E]
Функция user32.dll: EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E]
Функция user32.dll: ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E]
Функция user32.dll: FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996]
Функция user32.dll: FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E]
Функция user32.dll: PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86]
Функция user32.dll: PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E]
Функция user32.dll: SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946]
Функция user32.dll: SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26]
Функция user32.dll: SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6]
Функция user32.dll: SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE]
Функция user32.dll: SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36]
Функция user32.dll: SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E]
Функция user32.dll: SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE]
Функция user32.dll: SendNotifyMessageA (578 ) перехвачена, метод APICodeHijack.JmpTo[1004DAD6]
Функция user32.dll: SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE]
Функция user32.dll: SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6]
Функция user32.dll: SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856]
Функция user32.dll: SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6]
Функция user32.dll: SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E]
Функция user32.dll: SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16]
-
Давайте с этим в новую тему и с полным набором логов.
-
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\core.sys - [B]Rootkit.Win32.Agent.eq[/B] (DrWEB: Trojan.NtRootKit.239)[/LIST][/LIST]
Page generated in 0.00932 seconds with 10 queries