трояны

Printable View

08.06.2010, 20:12
Gross

Вложений: 1

трояны

Помогите пожалуйста избавится от вирусов. Проверил комп с помощью AVPTool он нашел несколько троянов, удаляю их, но через некотрое время они снова появляются. Также обрывается доступ в интернет, пропали свойства папки в сервисе. Все время пропадает языковая панель. Все время вылазиет этот процесс wndrive32.exe и иногда процессы с цифровыми именами типа 067.exe 800.exe.
08.06.2010, 21:09
ARMA9000

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\wndrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\43.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9655315319-8234354061-416217282-2186\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9655315319-8234354061-416217282-2186\syscr.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\wndrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(13)
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
09.06.2010, 09:31
Gross

Вроде сделал все. Логи делать все время в безопасном режиме?
09.06.2010, 18:54
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\программы\установочные\Панель быстрого запуска\Панель.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log) в нормальном режиме
10.06.2010, 09:23
Gross

вот логи
10.06.2010, 10:36
polword

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\RECYCLER\S-1-5-21-7471125325-2909798332-935462288-6107\syscr.exe');
DeleteFile('C:\WINDOWS\wndrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
10.06.2010, 11:21
Gross

Скрипт выполнил. "Обновление для Windows XP (KB898461)" это не обновляется другие вроде ообновились. мне делать логи?
10.06.2010, 11:46
polword

[QUOTE=Gross;652537]мне делать логи?[/QUOTE] да
10.06.2010, 12:02
Gross

Логи
10.06.2010, 12:18
polword

сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
10.06.2010, 12:44
Gross

сделал
10.06.2010, 12:56
polword

лог какой-то оборванный. сделайте его еще раз
10.06.2010, 14:04
Gross

сейчас?
10.06.2010, 14:15
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\_MSRSTRT.EXE','');
QuarantineFile('c:\windows\FlyakiteOSX\Backup\explorer.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

PartyGaming, PokerStars, PacificPoker - сами ставили?
10.06.2010, 14:24
Gross

карантин отправил. Сам ставил покер-румы
11.06.2010, 19:31
polword

карантина нет
12.06.2010, 11:42
Gross

[QUOTE]begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows\_MSRSTRT.EXE','');
QuarantineFile('c:\windows\FlyakiteOSX\Backup\explorer.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/QUOTE]
после этого скрипта создается карантиН?
14.06.2010, 15:20
AndreyKa

Если файлы есть на диске, то да.
Проблема решена?
15.06.2010, 16:28
Gross

Нет проблема не решена. Эти файлы есть, но почему то не добавляются в карантин. Архив создается пустым
15.06.2010, 20:24
polword

Пришлите эти файлы запакованным вручную в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
15.06.2010, 21:35
Gross

архив отправил, надеюсь правельно сделал его. Но тут еще фигня одна нарисовалась , хотел установить adobe flash player, а получилось что установил порно-банер, помогите пожалуйста его убрать. в реестер не могу зайти, Avz не запускается, при запуске диспетчера задач пишет отключен пользователем
16.06.2010, 05:57
polword

[URL="http://support.kaspersky.ru/viruses/deblocker"]http://support.kaspersky.ru/viruses/deblocker[/URL]
[URL=" http://www.drweb.com/unlocker/index/"] http://www.drweb.com/unlocker/index/[/URL]
- может код подберете

а [URL="http://gjf.hotbox.ru/mink.pif"]таким[/URL] AVZ попробуйте
16.06.2010, 15:59
Gross

Спасибо банер убрал. А что делать с вирусами, они так остались.
16.06.2010, 22:12
polword

[QUOTE=Gross;655561] А что делать с вирусами[/QUOTE]
- [URL="http://virusinfo.info/pravila_old.html"][COLOR="blue"]Внимательно прочитайте и аккуратно выполните[/COLOR][/URL]
17.06.2010, 22:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-9655315319-8234354061-416217282-2186\syscr.exe - [B]Worm.Win32.VBNA.b[/B] ( DrWEB: Win32.HLLW.Lime.8, AVAST4: Win32:VBMod [Trj] )[*] c:\windows\system32\msvmiode.exe - [B]Trojan.Win32.Inject.arpw[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Agent.Delf.RMJ, AVAST4: Win32:Dracur-D [Cryp] )[*] c:\windows\system32\43.exe - [B]P2P-Worm.Win32.Palevo.ambd[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.Generic.252433 )[*] c:\windows\wndrive32.exe - [B]Trojan.Win32.VBKrypt.bxc[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Backdoor.IRCBot.ACTR )[/LIST][/LIST]