Троянчики

Printable View

18.12.2011, 13:38
Wissper

Вложений: 3

Троянчики

Снова таже проблема. Винт предварительно был отформатирован и поменял систему. Подключил флешку и снова полезли вирусы. Касперский их видит, но половину удалить не может. Прошу помощи.
18.12.2011, 13:39
Info_bot

Уважаемый(ая) [B]Wissper[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
18.12.2011, 14:25
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\58.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('H:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\58.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=113909[/url]).
Сделайте новые логи.
18.12.2011, 17:13
Wissper

Вложений: 3

Сделал, карантин и новые логи прислал.
18.12.2011, 22:25
thyrex

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Что с проблемой?
18.12.2011, 23:25
Wissper

Проблема осталась, Касперский постоянно ругается на одни и те же вирусы. Удаляет их, а они снова появляются.
19.12.2011, 03:02
Bratez

Обновления установили?
19.12.2011, 23:12
Wissper

Да, обновления установил.
20.12.2011, 00:00
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
20.12.2011, 15:42
Wissper

Вложений: 1

Сделал полное сканирование.
20.12.2011, 21:11
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Зараженные папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Зараженные файлы:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0RIJK7AJ\dci[1].exe (Backdoor.IRCBot) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\0RIJK7AJ\fg[1].exe (Trojan.Agent.H) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6NKTAZSF\bn[1].exe (Trojan.Email) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\6NKTAZSF\fg[1].exe (Trojan.Agent.H) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8DIN2X6P\dci[1].exe (Backdoor.IRCBot) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\A9OJ8V6P\dci[1].exe (Backdoor.IRCBot) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\A9OJ8V6P\fg[1].exe (Trojan.Agent.H) -> No action taken.
c:\documents and settings\Таня\local settings\temporary internet files\Content.IE5\8LYJ4DAR\dci[1].exe (Backdoor.IRCBot) -> No action taken.
c:\таня_32гб\RECYCLER\e5188982.exe (Backdoor.IRCBot) -> No action taken.
c:\таня_32гб\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe (Backdoor.IRCBot) -> No action taken.
g:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe (Backdoor.IRCBot) -> No action taken.
h:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe (Backdoor.IRCBot) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.[/code]
25.12.2011, 14:38
Wissper

Поудалял все вышеописанные строки, на некоторое время вирусы пропали, но через пару дней снова появились одни и те же сообщения. Сделал новую проверку и снова нашло те же вирусы. Я снова их удалил. Новый лог прикрепил. Плюс ко всему при включенном инете МБАМ постоянно выбивает предупреждение о вредоносных сайтах. Прошу помощи избавиться от них навсегда.
25.12.2011, 18:20
thyrex

[quote="Wissper;852240"]на некоторое время вирусы пропали, но через пару дней снова появились одни и те же сообщения.[/quote]Это признак того, что обновления установлены не все

[quote="Wissper;852240"]Плюс ко всему при включенном инете МБАМ постоянно выбивает предупреждение о вредоносных сайтах[/quote]Это ложное поведение МВАМ
25.12.2011, 19:18
Wissper

Но я ведь обновил систему и ИЕ8, что еще нужно было обновить?
25.12.2011, 20:14
thyrex

При переходе по ссылке [url]http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru[/url] обноволения не предлагает больше?
25.12.2011, 21:56
Wissper

При переходе выбивает страница с ссылкой, которая не открывается, на обновление ИЕ и описание как включить автоматическое обновление. Но я уже делал автоматическое обновление и ставил ИЕ8. Что еще нужно поставить?
26.12.2011, 00:47
thyrex

[quote="Wissper;852409"]Но я уже делал автоматическое обновление и ставил ИЕ8[/quote]Только IE8 или все предложенные?
26.12.2011, 01:13
Wissper

Все предложенные + ИЕ8
26.12.2011, 02:21
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
26.12.2011, 21:38
Wissper

Сделал лог
26.12.2011, 23:39
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]KillAll::

File::

Driver::

Folder::

Registry::
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Taskman"=-

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
27.12.2011, 10:11
Wissper

Сделал новый лог
27.12.2011, 21:03
thyrex

Непохоже, что установлены все обновления для системы. ComboFix успел удалить сетевого червяка
27.12.2011, 23:39
Wissper

Не знаю, но я трижды ставил автоматическое обновление - оно обновляло и само перезагружало, что еще там не установлено немогу понять. Так что вирус больше не должен появляться?
28.12.2011, 00:05
thyrex

[quote="Wissper;852968"]Так что вирус больше не должен появляться?[/quote]Не факт
28.12.2011, 21:54
Wissper

Вирусы остались, что мне дальше делать?
29.12.2011, 00:38
thyrex

Обновляться

Если не проходит нормально переход по ссылке на сайт с обновлениями от MS, пробуйте [url]http://forum.oszone.net/thread-180712.html[/url]
29.12.2011, 20:43
Wissper

Обновил систему по ссылке, все вроде прошло нормально, но вирусы по прежнему остались.
29.12.2011, 21:07
thyrex

Еще раз лог ComboFix сделайте
30.12.2011, 14:31
Wissper

Сделал новый лог
30.12.2011, 19:57
thyrex

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на диск С.
[code]KillAll::

File::
c:\Documents and Settings\Таня\Application Data\Rowcwt.exe

Driver::

Folder::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rowcwt"=-

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
31.12.2011, 17:23
Wissper

Сделал все вышеописанное, но после начала проверки выбило следующий текст:
Scanning for infected files...
This typically doesn't take more than 10 minutes.
However scan times for badly infected machines may easily double.
И дальше процесс не пошел, висит на этом тексте, пытался дважды, один и тотже результат.
31.12.2011, 18:06
thyrex

Поищите и вручную удалите файл и запись в реестре
01.01.2012, 19:53
Wissper

По вышеописанным адресам не существует ни файла ни записи в реестре.
01.01.2012, 20:00
thyrex

Что с проблемой?
02.01.2012, 19:16
Wissper

Пока проблема исчезла, если будут изменения - я отпишусь
03.01.2012, 19:16
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - [B]Backdoor.Win32.Inject.wps[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.485282, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:FakeAlert-BVT [Trj] )[*] c:\\windows\\system32\\58.exe - [B]Backdoor.Win32.Inject.wps[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.KDV.485282, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:FakeAlert-BVT [Trj] )[/LIST][/LIST]