Не получается справиться с трояном.

Printable View

31.05.2007, 11:25
burzum

Вложений: 6

Не получается справиться с трояном.

Сценарий стандартный: пропали инсталляции Аваста и Зон Аларма. Странные процессы и т.д.
Что пробовал: с помощью AVG перезагружался в "safe mode" и запускал cure_it, не помогло.
Жду Ваших распоряжений.
31.05.2007, 11:31
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\admin\Application Data\hidires\hidr.exe','');
QuarantineFile('C:\Documents and Settings\admin\Application Data\hidires\m_hook.sys','');
QuarantineFile('c:\windows\system32\wintems.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". У Вас Windows англоязычная?
31.05.2007, 11:51
burzum

Подобное сообщение выдал Hijack This
Unexpected error occurred!
Error #52 (Bad file name or number) in Sub GetLongPath(?.exe).

Да, Windows англоязычная.

Файлы выслал.
31.05.2007, 11:58
Rene-gad

[QUOTE=burzum;113066]Подобное сообщение выдал Hijack This
[/QUOTE]
попробуйте переименовать файл [B]hijackthis.exe[/B] в [B]checkme.com[/B]: [url]http://virusinfo.info/showpost.php?p=64376&postcount=1[/url]
31.05.2007, 12:00
burzum

[quote=Rene-gad;113070]попробуйте переименовать файл [B]hijackthis.exe[/B] в [B]checkme.com[/B]: [URL]http://virusinfo.info/showpost.php?p=64376&postcount=1[/URL][/quote]

переименовал, а теперь попробовать фиксить снова?
31.05.2007, 12:13
Макcим

[QUOTE]Да, Windows англоязычная.[/QUOTE]В таком случае скачайте англоязычную версию AVZ и сделайте логи ещё раз. [QUOTE]переименовал, а теперь попробовать фиксить снова?[/QUOTE]Да.
31.05.2007, 12:16
burzum

[quote=MaXim;113075]В таком случае скачайте англоязычную версию AVZ и сделайте логи ещё раз. [/quote]

А где взять скрипты для англоязычной версии?

[quote=MaXim;113075]Да. [/quote]
Строк которые нужно было фиксить я уже в логе не нахожу.
31.05.2007, 12:24
Rene-gad

[QUOTE=burzum;113076]А где взять скрипты для англоязычной версии?[/QUOTE]
Скрипты работают независимо от языковой версии.
[QUOTE]Строк которые нужно было фиксить я уже в логе не нахожу.[/QUOTE]
Сделайте новые логи.
31.05.2007, 12:54
burzum

[quote=Rene-gad;113079]Скрипты работают независимо от языковой версии.

Сделайте новые логи.[/quote]

Логи сделал как Вы и просили. Они прикреплены к оглавлению с пометками "EN".
31.05.2007, 13:03
Макcим

[QUOTE]Здравствуйте,

avz00001.dta - not-a-virus:AdWare.Win32.Softomate.ah

Это файл от рекламной системы. Детектирование файла будет добавлено в
следующее обновление расширенного набора баз. Подробная информация о
расширенных базах: [url]http://www.kaspersky.ru/extraavupdates[/url]

avz00002.dta, avz00004.dta, bcqr00001.dat, bcqr00002.dat, bcqr00005.dat, bcqr00006.dat - Email-Worm.Win32.Bagle.il,
avz00003.dta, bcqr00003.dat, bcqr00004.dat - Email-Worm.Win32.Bagle.ik

Эти файлы определяются антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.

--
С уважением, Владимир Крылов
Вирусный аналитик Лаборатории Касперского[/QUOTE]Коллеги, напишите пожалуйста скрипт лечения, у меня сейчас нет возможности посмотреть карантин.
31.05.2007, 13:44
burzum

так что делать теперь?
31.05.2007, 14:03
PavelA

Чутка подождать. Не волнуйтесь, и Вас вылечат (с)
31.05.2007, 17:09
burzum

а есть смысл ждать? или просто систему переставить?
31.05.2007, 17:13
PavelA

Если на Вашем компе только эта гадость, то во-первых она лечится, а во-вторых - если нет ничего ценного, то прощее переставить систему.
Нам, хелперам деньги на Интернет сэкономите.
31.05.2007, 17:21
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Furl Toolbar\toolbar.dll');
DeleteFile('c:\windows\system32\wintems.exe');
DeleteFile('C:\Documents and Settings\admin\Application Data\hidires\hidr.exe');
DeleteFile('C:\Documents and Settings\admin\Application Data\hidires\m_hook.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis:
[code]
O2 - BHO: XBTB05988 - {5C43B8A2-24E8-4336-B86E-A94558E10C60} - C:\PROGRA~1\FURLTO~1\toolbar.dll
O3 - Toolbar: Furl Toolbar - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - C:\Program Files\Furl Toolbar\toolbar.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
[/code]
Сделайте новые логи.
31.05.2007, 17:26
drongo

Опоздал :) добавлю лишь ,что нужно новые логи из английской версии авз прикрепив их к следующему сообщению , а не вверху .
31.05.2007, 17:54
burzum

Вложений: 3

сделал как Вы сказали
прошу заметить, что лишь первые две строчки фикса нашлись в Hijackthis
31.05.2007, 18:01
Bratez

Больше ничего подозрительного в логах не вижу.
Проблема все еще проявляется?
31.05.2007, 18:05
drongo

Выглядит чисто, проблема исчезла ? Если нет, советую удалять все программы которые не работают и ставить заново или устанавливать другие аналогичные на Ваш выбор ;)
31.05.2007, 18:40
burzum

на первый взгляд все нормально, вопрос сейчас поврежден ли регистр, если есть вероятность, то чем советуете проверить и профиксить?
я знаю что подобные штуки надолго застревают в регистреи могут пакостить, что Вы думаете?
31.05.2007, 18:45
Bratez

Ссылки на удаленные файлы в реестре также удалены скриптом и фиксом в HJT.
31.05.2007, 19:16
drongo

Думаю защита слабовата для тех мест , где бродите ;)
Под админом не работать за компьютером и поставить noscript в огненной лисе ;)
22.02.2009, 01:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\hidires\\hidr.exe - [B]Email-Worm.Win32.Bagle.il[/B] (DrWEB: Win32.HLLM.Beagle)[*] c:\\documents and settings\\admin\\application data\\hidires\\m_hook.sys - [B]Email-Worm.Win32.Bagle.ik[/B][*] c:\\program files\\furl toolbar\\toolbar.dll - [B]not-a-virus:AdWare.Win32.Mostofate.ah[/B] (DrWEB: Adware.Softomate.114)[*] c:\\windows\\system32\\wintems.exe - [B]Email-Worm.Win32.Bagle.il[/B] (DrWEB: Win32.HLLM.Beagle)[/LIST][/LIST]