Миллионы троянов и что-то ещё.

Printable View

19.10.2010, 19:30
andrelik

Миллионы троянов и что-то ещё.

Всем добрый день (уже вечер наверное).
Решил проверить комп на вирусы, оказался полный букет, + мозилла глючить начала страшно...
Прошу помочь с проверкой.
19.10.2010, 22:05
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
QuarantineFile('C:\Documents and Settings\Ayanami\Application Data\oekx.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\Documents and Settings\Ayanami\Application Data\oekx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
20.10.2010, 05:15
andrelik

Карантин - 101020_051219_quarantine_4cbe41f3726a1.zip
Ещё вот у мну много каких-то перехватчиков КИСТ, это нормально? Это случаемне кейлоггеры? :)
20.10.2010, 07:37
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('C:\Documents and Settings\Ayanami\Application Data\oekx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повоторите лог [B]virusinfo_syscure.zip [/B]
20.10.2010, 11:26
andrelik

101020_112536_quarantine2_4cbe997087af6.zip - Карантин
Логи.
20.10.2010, 11:45
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] [B]в безопасном режиме[/B] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Ayanami\Application Data\oekx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повоторите лог virusinfo_syscure.zip
20.10.2010, 20:21
andrelik

Вотъ.
Хотя всё-равно какие-то красные надписи идут :)
А ещё вот такой штука появилась в Моём компьютере после фикса и перезагрузки (в безопасном режиме делал).
20.10.2010, 20:38
olejah

В логе чисто. Что с проблемой?
20.10.2010, 20:55
andrelik

ДА вот чёрт его знает. Когда захожу в Мой компутер, все значки накладываются друг на друга прямо. Тыкаешь на один, он высвечивается, тыкаешь сбоку, это затеняется, на него накладывается значок и надписи СД-рома к примеру и т.д.
Такая штука только в Моём компутере. Больше нигде.
Пробовал ребут, всё также :)
21.10.2010, 01:57
миднайт

В AVZ выполните скрипт:

[code]
begin
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]
Что теперь с проблемой?
08.11.2010, 17:54
andrelik

Ой, добрый вечер. Наконец-то вернулся с командировки. Заходил пока ездил сюда, приехал домой и попробовал.
Всё стало красиво.
Огромное спасибо :)
Но вот появилось одно но.
Пока был далеко, наведовались ко мне родственники, а так как комп работает 24/7, поскачивали фильмов всяких и вот когда я сегодня утром приехал, у мну была заблокирована Винда, Мозилла наотрез отказывалась включаться, а АВЗ просил вставить диск...
Узнал у родственников, буквально несколько часов назад у них перестала грузиться также мозилла, все ехе-шные файлы при открытии сразу закрывались. А вот пол-часа назад винда просто перестала грузиться...
Страшно :)
Прошу ещё раз взглянуть на логи, вдруг я от них что-нить подцепил или может сам из сети за 2 недели непрерывного террента чего-нить нахватал.

Заранее спасибо :)
09.11.2010, 17:15
olejah

[QUOTE]Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE] Надо бы базы обновить.
09.11.2010, 21:53
andrelik

Вложений: 3

Ой, даже внимания не обратил на то, что базы устарели.
Скидываю новые логи, появилось какое-то подозрение на трояна, хотя утром таких строчек небыло. :O
13.11.2010, 11:18
миднайт

[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
14.11.2010, 11:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\ayanami\\application data\\oekx.exe - [B]Trojan.Win32.Buzus.eubs[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Trojan.Generic.4720968, NOD32: Win32/Inject.NDR trojan, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]