Подцепил трояны с флешки

Printable View

Показывать 40 сообщений этой темы на одной странице

05.10.2010, 21:17
nk7

Подцепил трояны с флешки

Упала производительность, провайдер даже отключал инет за "спам-активность". Полностью проверил компьютер KAV'ом в без. режиме, было обнаружено и удалено 5 троянов, проблемы остались.
05.10.2010, 21:50
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\oleg\Application Data\juzjf.exe','');
DeleteFile('C:\Documents and Settings\oleg\Application Data\juzjf.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-8928907286-2441269230-250553885-4818\yv8g67.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8928907286-2441269230-250553885-4818\yv8g67.exe');
QuarantineFile('C:\Documents and Settings\oleg\csrss.exe','');
DeleteFile('C:\Documents and Settings\oleg\csrss.exe');
QuarantineFile('C:\windows\system32\DRIVERS\atapi.sys','');
QuarantineFile('autorun.bat','');
QuarantineFile('C:\autorun.exe','');
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('D:\autorun.wsh','');
QuarantineFile('E:\autorun.wsh','');
DeleteFile('E:\autorun.wsh');
DeleteFile('D:\autorun.wsh');
DeleteFile('C:\autorun.wsh');
DeleteFile('C:\autorun.exe');
DeleteFile('autorun.bat');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
06.10.2010, 16:16
nk7

Сделал.
06.10.2010, 23:10
nk7

[ап] Стоит ждать [I]сегодня[/I] помощи, или всё совсем плохо?
06.10.2010, 23:17
thyrex

Что с проблемой?
06.10.2010, 23:27
nk7

Производительность после выполнения скрипта повысилась, но мой компьютер по прежнему открывается 2 минуты, из панели управления ничего не запускается (я не ждал больше 5 мин)/не включить отрубившийся интернет.
07.10.2010, 00:36
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
11.10.2010, 17:42
nk7

Проверялось 60 часов!
11.10.2010, 23:52
nk7

Ап
Не знаю, важно это или нет, но я вспомнил, что после проверки KAV`ом я почистил скрытые файлы на внешнем диске F (juched.exe и что-то еще). А до того сделал восстановление системы (наверное это было ошибкой...)
12.10.2010, 17:30
nk7

Ап...
12.10.2010, 17:40
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\Program Files\ConnectionServices\Uninstall.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
15.10.2010, 15:56
nk7

[QUOTE=Olejah;719500][URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTW[ARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.
[/CODE][/QUOTE]
MBAM зависает во время удаления. Можно удалить через Regedit, или как-то по другому?
15.10.2010, 18:24
olejah

Пробовали много раз? Руками можно, но аккуратно.
15.10.2010, 23:01
nk7

4 раза зависало в одном и том же месте, с одинаковым кол-вом памяти.
Удалил через regedit, скрипты выполнил.
Файл сохранён как 101015_225938_quarantine_4cb8a49aeb849.zip
15.10.2010, 23:35
Никита Соловьев

Сделайте новые логи
17.10.2010, 14:39
nk7

Сделал.
17.10.2010, 14:43
Никита Соловьев

Чисто в логах. Что с проблемой?
17.10.2010, 15:27
nk7

Все так же: Мой компьютер и панель управления открываются по 5 минут (с LiveCD моментально), но теперь еще при выключении не закрывается Power Meter...
17.10.2010, 21:21
Никита Соловьев

[QUOTE='nk7;721471']закрывается Power Meter... [/QUOTE]Это ещё что такое?
17.10.2010, 22:18
nk7

Без понятия. В диспетчере задач не нашел, но при выключении появляется сообщение что ее невозможно закрыть, с выбором end now/cancel.

Показывать 40 сообщений этой темы на одной странице