Показано с 1 по 17 из 17.

Помогите удалить троянов (заявка № 8966)

  1. #1
    Junior Member Репутация
    Регистрация
    23.01.2007
    Сообщений
    40
    Вес репутации
    65

    Thumbs up Помогите удалить троянов

    После "работы" отдного командировочного в офисе, на компутере стали твориться жуткие дела:
    очень долго грузится, работать почти невозможно - очень долго грузятся приложения или не грузятся вообще, пропал инет - самое важное...
    система: WinXPRuProf SP2+касперский(старый) с необновленными базами...
    каспера снес, поставил нортона Сorp 10.0.2.2000 с последними базами.
    отключил восстановление системы, удалил ручками системную и пользовательскую папку Temp (содержимое), кэш эксплорера, из системного каталога винды выкинул несколько подозрительных ехе-файликов, проверил систему нортоном - он поудалял кучу разных троянов, но не до конца - при загрузке системы, какая-то зараза все равно вылазит, он ее дословно: "частично вылечил частично поместил в карантин", и при каждой загрузке нортон выдает сообщение об ошибке отправки электронной почты в связи с неправильно настроенной сетью.
    после всего проделанного система стала грузиться более-менее, но заставить выйти в инет - не получается, как и не получается до конца удалить всю заразу

    PS. кстати, в автозагрузке в реестре сидел adirka . я отключил его загрузку, а нортон его ваще удалил, но это всего лишь один из... многих присутствовавших
    Вложения Вложения
    Последний раз редактировалось Strangers; 12.04.2007 в 22:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    996
    AVZ -> файл -> Восстановление системы -> поставить галочку на п.14 -> выполнить отмеч. операции.Перегрузиться.
    Интернет должен восстановиться, если нет, то. отметить п. 15 и выполнить.Перегрузиться.

    скачайте последнею версию авз и

    сделайте новые логи с ней , эти удалите- они старые .
    П.С. Если бы наоборот поставили нового каспера с последними базами меньше бы чистить пришлось.
    Отключите наконец систем рестор , а то не будем успевать лечить , опять будет троянов восстанавливать.
    Последний раз редактировалось drongo; 13.04.2007 в 14:27.

  4. #3
    Junior Member Репутация
    Регистрация
    23.01.2007
    Сообщений
    40
    Вес репутации
    65
    инет заработал, спасибо
    -Отключите наконец систем рестор
    еще вчера

    вот что нашел нортон во время ночной проверки:
    Trojan Horse
    Trojan.Abwiz.F
    Trojan.Packed.13
    Trojan.Peacomm
    Trojan.Mespam
    Adware.SurfSideKick
    Adware.ZQuest
    Adware.UCMore
    SecurityRisk.Downldr
    Infostealer
    Infostealer.Bzup


    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    996

    скачайте последнею версию AVZ 4.24 r4, сделайте новые логи .
    Прикрепить Новые логи, а не старые- это так сложно ?
    Последний раз редактировалось drongo; 13.04.2007 в 14:34.

  6. #5
    Junior Member Репутация
    Регистрация
    23.01.2007
    Сообщений
    40
    Вес репутации
    65
    хорошо, хорошо, не посмотрел что вышла новая версия, закачал только обновления
    кстати качал очень долго - более 40 минут - такое впечатление, что не adsl - а диалап
    и еще : при открытии IE какая-то зараза открывает еще одно или два окна и пытается куда-то ломиться....
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\core.sys','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. Пришлите содержимое карантина согласно приложению 3 правил.

  8. #7
    Junior Member Репутация
    Регистрация
    23.01.2007
    Сообщений
    40
    Вес репутации
    65
    готово, только кроме core.sys в карантин ничего не попало

  9. #8
    Junior Member Репутация
    Регистрация
    23.01.2007
    Сообщений
    40
    Вес репутации
    65
    инет периодически пропадает, для того чтобы достучаться куда-то, вт.ч. и сюда, приходится закрывать эксплорер, открывать новое окно, только после этого можно куда-нибудь попасть.
    с машин в сети выхода в инет нету.
    даже сайт провайдера не открывается...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580
    готово, только кроме core.sys в карантин ничего не попало
    Да в общем-то он один и был интересен

    core.sys - Rootkit.Win32.Agent.eq (по Касперскому), что и требовалось доказать.

    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\drivers\core.sys');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('core');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи, начиная с п.10 правил.

  11. #10
    Junior Member Репутация
    Регистрация
    23.01.2007
    Сообщений
    40
    Вес репутации
    65
    осталось совсем немного
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580
    осталось совсем немного
    Да, только пофиксить в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
    В логах больше ничего "криминального" нет.
    каспера снес, поставил нортона
    А вот это зря (IMHO). Как нынче модно говорить, "фтыкать тут":
    http://virusinfo.info/showthread.php?t=1376

  13. #12
    Junior Member Репутация
    Регистрация
    23.01.2007
    Сообщений
    40
    Вес репутации
    65
    спасибо за помощь, а по поводу нортона могу сказать следующее: никогда не мог терпеть каспера за его тормоза на любом железе...
    самый большой недостаток нортона - обновление антивирусной базы, все остальное - меня устраивает
    а зараза которая может обойти как нортона так и каспера появляется регулярно - наша задача регулярно обновляться

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1580

    Thumbs up

    Что ж, на вкус и на цвет...
    Если что, заходите еще. Удачи!

  15. #14
    Junior Member Репутация
    Регистрация
    23.01.2007
    Сообщений
    40
    Вес репутации
    65
    кстати, это уже не в тему, но может подскажете как вот это понимать :
    (обнаружил у себя дома)

    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll: CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[1004D532]
    Функция kernel32.dll: CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1004D50A]
    Функция kernel32.dll: CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1004D82E]
    Функция kernel32.dll: WinExec (896) перехвачена, метод APICodeHijack.JmpTo[1004D4E2]
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll: LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[1004D7DE]
    Функция ntdll.dll: LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[1004D7B6]
    Функция ntdll.dll: NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
    Функция ntdll.dll: NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[1004D622]
    Функция ntdll.dll: NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
    Функция ntdll.dll: NtSetValueKey (338 ) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
    Функция ntdll.dll: NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
    Функция ntdll.dll: NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
    Функция ntdll.dll: NtTerminateProcess (348 ) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
    Функция ntdll.dll: NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[1004D766]
    Функция ntdll.dll: ZwCreateThread (950) перехвачена, метод APICodeHijack.JmpTo[1004D5D2]
    Функция ntdll.dll: ZwProtectVirtualMemory (1035) перехвачена, метод APICodeHijack.JmpTo[1004D622]
    Функция ntdll.dll: ZwSetContextThread (1113) перехвачена, метод APICodeHijack.JmpTo[1004D5FA]
    Функция ntdll.dll: ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[1004D78E]
    Функция ntdll.dll: ZwSuspendProcess (1153) перехвачена, метод APICodeHijack.JmpTo[1004D6EA]
    Функция ntdll.dll: ZwSuspendThread (1154) перехвачена, метод APICodeHijack.JmpTo[1004D6C2]
    Функция ntdll.dll: ZwTerminateProcess (1157) перехвачена, метод APICodeHijack.JmpTo[1004D73A]
    Функция ntdll.dll: ZwWriteVirtualMemory (1178 ) перехвачена, метод APICodeHijack.JmpTo[1004D766]
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll: CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[1004DBEE]
    Функция user32.dll: ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[1004D3F2]
    Функция user32.dll: ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1004D3CA]
    Функция user32.dll: DdeConnect (108 ) перехвачена, метод APICodeHijack.JmpTo[1004DBC6]
    Функция user32.dll: DdeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[1004DB9E]
    Функция user32.dll: DdeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[1004DB76]
    Функция user32.dll: DdeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[1004DB4E]
    Функция user32.dll: EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1004D87E]
    Функция user32.dll: ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[1004D91E]
    Функция user32.dll: FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[1004D996]
    Функция user32.dll: FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[1004D96E]
    Функция user32.dll: PostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[1004DA86]
    Функция user32.dll: PostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[1004DA5E]
    Функция user32.dll: SendInput (571) перехвачена, метод APICodeHijack.JmpTo[1004D946]
    Функция user32.dll: SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[1004DB26]
    Функция user32.dll: SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[1004D9E6]
    Функция user32.dll: SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[1004D9BE]
    Функция user32.dll: SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[1004DA36]
    Функция user32.dll: SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[1004DA0E]
    Функция user32.dll: SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[1004DAFE]
    Функция user32.dll: SendNotifyMessageA (578 ) перехвачена, метод APICodeHijack.JmpTo[1004DAD6]
    Функция user32.dll: SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[1004DAAE]
    Функция user32.dll: SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[1004D8F6]
    Функция user32.dll: SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[1004D856]
    Функция user32.dll: SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[1004D8A6]
    Функция user32.dll: SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[1004DC3E]
    Функция user32.dll: SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[1004DC16]

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1317
    Давайте с этим в новую тему и с полным набором логов.

  17. #16
    Junior Member Репутация
    Регистрация
    23.01.2007
    Сообщений
    40
    Вес репутации
    65
    ну ладно

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    979

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\core.sys - Rootkit.Win32.Agent.eq (DrWEB: Trojan.NtRootKit.239)


  • Уважаемый(ая) Strangers, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 23.10.2011, 20:52
    2. Помогите избавиться от троянов!
      От Anton063 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 11.08.2010, 11:16
    3. Помогите избавиться от троянов
      От wheeller в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.07.2009, 22:57
    4. кучка троянов, помогите вылечить
      От dimants в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.06.2009, 17:20
    5. Помогите, много троянов:(
      От JekaterinaST в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 05:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00855 seconds with 19 queries