помогите, трояны атакуют

Printable View

Показывать 40 сообщений этой темы на одной странице

12.09.2010, 10:40
rhapsody

помогите, трояны атакуют

помогите, пожалуйста
не спасла даже переустановка системы
12.09.2010, 11:43
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
QuarantineFile('C:\RECYCLER\S-1-5-21-7061021492-8193966904-794007732-4879\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7061021492-8193966904-794007732-4879\syscr.exe');
QuarantineFile('C:\Documents and Settings\Ксюша Спенсер\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\23.exe','');
QuarantineFile('C:\WINDOWS\system32\78.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\43.exe','');
QuarantineFile('C:\WINDOWS\system32\35.exe','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\87.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('C:\WINDOWS\system32\02.exe','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('C:\WINDOWS\system32\11.exe','');
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\system32\25.exe','');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
QuarantineFile('C:\WINDOWS\system32\32.exe','');
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\Documents and Settings\Ксюша Спенсер\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL]
12.09.2010, 12:27
rhapsody

карантин отправила
вот лог МВАМ
12.09.2010, 12:29
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите[/URL] всё, что нашёл МВАМ

- Повторите лог
12.09.2010, 12:42
rhapsody

ок... вот новый лог
12.09.2010, 12:44
olejah

Чисто, что с проблемой?
12.09.2010, 12:47
rhapsody

антивирус верещит, что нас опять атакуют.... буквально минуту назад сообщил о новом трояне
12.09.2010, 12:50
olejah

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
12.09.2010, 13:18
rhapsody

ок
12.09.2010, 15:04
olejah

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.

[CODE]KillAll::

File::
c:\windows\system32\ezsidmv.dat
c:\windows\system32\01.exe
c:\windows\system32\05.exe
c:\windows\system32\06.exe
c:\windows\system32\10.exe
c:\windows\system32\18.exe
c:\windows\system32\22.exe
c:\windows\system32\26.exe
c:\windows\system32\30.exe
c:\windows\system32\33.exe
c:\windows\system32\34.exe
c:\windows\system32\37.exe
c:\windows\system32\38.exe
c:\windows\system32\40.exe
c:\windows\system32\44.exe
c:\windows\system32\46.exe
c:\windows\system32\51.exe
c:\windows\system32\52.exe
c:\windows\system32\60.exe
c:\windows\system32\61.exe
c:\windows\system32\63.exe
c:\windows\system32\66.exe
c:\windows\system32\68.exe
c:\windows\system32\70.exe
c:\windows\system32\71.exe
c:\windows\system32\72.exe
c:\windows\system32\74.exe
c:\windows\system32\75.exe
c:\windows\system32\76.exe
c:\windows\system32\80.exe
c:\windows\system32\81.exe
c:\windows\system32\82.exe
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

Driver::

NetSvc::

Folder::

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [B]CFScript.txt[/B] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
12.09.2010, 15:44
rhapsody

comb ругается: were you trying to run CFScript? the name, CFScript appears to be incorrectly spelt
12.09.2010, 16:43
olejah

Вы в точности выполняете инструкцию?
12.09.2010, 17:09
rhapsody

простите(((
вот лог
12.09.2010, 22:51
thyrex

Логи МВАМ и AVZ еще раз сделайте
13.09.2010, 16:54
rhapsody

вот логи
13.09.2010, 17:00
olejah

Проверьтесь так - [URL="http://support.kaspersky.ru/faq/?qid=208636926"]http://support.kaspersky.ru/faq/?qid=208636926[/URL] лог приложите к следующему сообщению. [QUOTE]По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt[/QUOTE]
13.09.2010, 17:04
rhapsody

он ничего не нашел
13.09.2010, 17:07
olejah

Ещё как нашёл, файл [B]C:\WINDOWS\System32\drivers\prodrv04.sys[/B] запакуйте с паролем [B]virus[/B] и пришлите по ссылке вверху - [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR]
13.09.2010, 17:17
rhapsody

киллер его видимо удали, потому что его даже в скрытых нет
13.09.2010, 17:18
rhapsody

вот новый лог
13.09.2010, 17:25
olejah

Перезагрузитесь и повторите лог МВАМ
13.09.2010, 18:14
rhapsody

после перезагрузки НОД устроил настоящую истерику, обнаружил невероятное количество червей и сказал, что совершено 247 сетевых атак (О_о)... он всё время ругается на content.IE5

вот лог
13.09.2010, 18:45
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\RECYCLER\S-1-5-21-2190776067-7144798888-542303297-5287\syscr.exe');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повторите лог МВАМ
13.09.2010, 19:00
rhapsody

вот лог
13.09.2010, 19:01
rhapsody

нод опять жалуется на червей и атаки... и опять верещит из за content IE5
13.09.2010, 19:04
olejah

В логе МВАМ чисто, повторите лог ComboFix
13.09.2010, 19:19
rhapsody

Вложений: 1

вот лог
13.09.2010, 19:26
olejah

Вы отключали восстановление системы?
13.09.2010, 19:29
rhapsody

вчера вечером включила и сегодня забыла отключить... повторить?
13.09.2010, 19:31
olejah

Оно должно быть выключено, пока мы не закончим лечение, а то до старости будем лечить:(
13.09.2010, 19:46
rhapsody

простите пожалуйста, я так больше не буду((
вот новые логи
восстановление будет отключено
13.09.2010, 19:59
olejah

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.

[CODE]KillAll::

File::
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\03.exe
c:\windows\system32\20.exe
c:\windows\system32\24.exe
c:\windows\system32\27.exe
c:\windows\system32\32.exe
c:\windows\system32\33.exe
c:\windows\system32\40.exe
c:\windows\system32\56.exe
c:\windows\system32\68.exe
c:\windows\system32\70.exe
c:\windows\system32\71.exe
c:\windows\system32\88.exe
c:\windows\system32\03.exe
c:\windows\system32\20.exe
c:\windows\system32\24.exe
c:\windows\system32\27.exe
c:\windows\system32\32.exe
c:\windows\system32\33.exe
c:\windows\system32\40.exe
c:\windows\system32\56.exe
c:\windows\system32\68.exe
c:\windows\system32\70.exe
c:\windows\system32\71.exe
c:\windows\system32\88.exe

Driver::

NetSvc::

Folder::

Registry::

FileLook::

DirLook::[/CODE]

После сохранения переместите [B]CFScript.txt [/B]на пиктограмму [B]ComboFix.exe.[/B]

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
13.09.2010, 20:19
rhapsody

вот лог
13.09.2010, 20:21
olejah

Сейчас что с проблемой?
13.09.2010, 20:24
rhapsody

нод сказал, что количество сетевых атак - 4...
так что - это всё ещё продолжается

[size="1"][color="#666686"][B][I]Добавлено через 45 секунд[/I][/B][/color][/size]

о, а вот опять на content.IE5 жалобы(((
14.09.2010, 11:38
polword

Обновите систему
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
- поставте [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader 9.3[/URL] или удалите старый.

После обновления:
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
14.09.2010, 12:49
rhapsody

обновила
14.09.2010, 13:36
polword

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\ezsidmv.dat

Driver::

NetSvc::

Folder::

Registry::

FileLook::
c:\windows\system32\emptyregdb.dat

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
14.09.2010, 14:08
rhapsody

отчёт
15.09.2010, 15:45
rhapsody

спасибо большое за помощь... мы вылечились)))

Показывать 40 сообщений этой темы на одной странице