Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

Вирус отключает антивирусы и закрывает доступ к брандмауэру. Help me PLEASE (заявка № 12390)

  1. #1
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    107
    Вес репутации
    61

    Question Вирус отключает антивирусы и закрывает доступ к брандмауэру. Help me PLEASE

    Несколько дней назад avast сигнализировал об обнаружении вируса. Данный вирус автоматически отключал брандмауэр, не пускает в "Учетные записи пользователей", при нажатии Ctrl+Alt+Del на мониторе высвечивалось "Диспетчер задач отключен администратором", попытка запустить AVZ ничего не дала, резидентный сканер avast более не запускается, плюс ко всему при подключении к Internet без остановки качается траф.
    Просканировал avastом, он нашел кучу троянов. Затем при помощи ad-ware, он тоже обнаружил несколько критических объектов. После просканировал при помощи cureit - обнаружено более 40 троянов, среди которых несколько Trojan.Downloader, Trojan.Packed и еще несколько видов. Trojan.Polipos выявлен не был. Все они удалены. Однако трафик при подключении к Internet по прежнему заливается в мой комп самостоятельно, а утилита AVZ и резидентный сканер avast по прежнему не запускаются. При попытке запустить Брандмауэр Windows высвечивается сообщение "Вследсвтие неопределенной ошибки не удается отобразить параметры брандмауэра Windows".
    Может с Вашей помощью получится "изгнать" эту гадость?
    Все сделал как написано в правилах, однако не могу выслать log сканирования утилитой AVZ, т.к. она после инфицирования не запускается.
    Последний раз редактировалось monia; 13.06.2008 в 15:09.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от monia Посмотреть сообщение
    Все сделал как написано в правилах, однако не могу выслать log сканирования утилитой AVZ, т.к. она после инфицирования не запускается
    Без лога AVZ помочь очень сложно. А если переименовать AVZ.EXE скажем в 123.EXE ?

  4. #3
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    107
    Вес репутации
    61
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Без лога AVZ помочь очень сложно. А если переименовать AVZ.EXE скажем в 123.EXE ?
    Получилось
    Последний раз редактировалось monia; 13.06.2008 в 15:09.

  5. #4
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    107
    Вес репутации
    61
    Оп-па, теперь еще и комп не выключается, нажимаю "Выключить", а он перезагружается.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от monia Посмотреть сообщение
    Оп-па, теперь еще и комп не выключается, нажимаю "Выключить", а он перезагружается.
    На завирусованной машинке все может быть. Версия AVZ не та - применялась 4.25, а текущая - 4.27. Следует скачать новую версию и повторить логи ... на компьютере явный зловред, необходимо выполнить скрипт, предложенный в моем посте номер 8 ниже
    Последний раз редактировалось Зайцев Олег; 12.09.2007 в 17:36.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    и что за чудо C:\Documents and Settings\Андрей\Мои документы\anti.bat

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    И пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
    O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
    Опыт — это слово, которым люди называют свои ошибки.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Для заражения данным зловредом мой анализатор предлагает вот такой скрипт - он должен добить зловреда или по крайней мере часть его:
    Код:
    begin
     SetAVZGuardStatus(true);           
     // Добавление указанного файла в карантин
     QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
     QuarantineFile('c:\windows\system32\svchost.exe:exe.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Ryxp77.sys','');
     QuarantineFile('C:\WINDOWS\system32\deviceemulator.exe', '');
     
     // Удаление файла
     DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
     DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('c:\windows\system32\spoolsvv.exe');
     DeleteFile('c:\windows\spooldr.exe');
     DeleteFile('c:\windows\SYSTEM32\spooldr.sys');
    
     DeleteFile('c:\windows\system32\msvc32.dll');
    
    
     DeleteFile('C:\WINDOWS\System32\Drivers\Hdpo57.SYS');
     DeleteFile('C:\WINDOWS\System32\Drivers\Ryxp77.sys');
     DeleteFile('C:\WINDOWS\system32\i386kd.exe');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
     DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
     DeleteFile('C:\WINDOWS\retadpu27.exe');           
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
     DeleteFile('%Tmp%\winlogon.exe');
     DeleteFile('%Tmp%\hd1.tmp');
    
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');           
     // Очистка файла Hosts
     ClearHostsFile;
     // Импорт в задание BootCleaner списка файлов, помещенных в скриптом карантин
     BC_ImportQuarantineList;
     // Активация BootCleaner
     BC_Activate;
     // Эвристическая чистка системы
     ExecuteSysClean;
     DelCLSID('36DBC179-A19F-48F2-B16A-6A3E19B42A87');
     // Перезагрузка
     RebootWindows(true);
    end.
    После выполнения данного скрипта и перезагрузки потребуется найти tcpip.sys в папке C:\WINDOWS\System32\Drivers\ и заменить его на чистый из дистрибутива (зловред патчит этот файл)
    Последний раз редактировалось Зайцев Олег; 12.09.2007 в 18:07.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Bratez Посмотреть сообщение
    Осмелюсь дополнить анализатор Олега
    Еще один файлик интересен:
    Я дописал в общий скрипт карантин этого файлика, спасибо

  11. #10
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    107
    Вес репутации
    61
    Изменения после выполнения скрипта, который дал Олег: AVZ запускается как положено, резидентный сканер avast заработал, наконец-то меня пустили в "Учетные записи пользователей".
    Спасибо!
    Осталось без изменений: траф так и качается, вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows.
    Файл tcpip.sys я заменил
    Высылаю новые логи.
    Последний раз редактировалось monia; 13.06.2008 в 15:09.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В AVZ сделайте:
    Файл - Восстановление системы - отметить #6 - Выполнить.

    В HijackThis пофиксите:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
    O20 - Winlogon Notify: botreg - C:\WINDOWS\
    В остальном абсолютно чисто.
    Может быть, качаются какие-нибудь обновления, надо подождать немного.

    Насчет брандмауэра - сейчас поищу ссылку, тут давали сегодня...
    I am not young enough to know everything...

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от monia Посмотреть сообщение
    Изменения после выполнения скрипта, который дал Олег: AVZ запускается как положено, резидентный сканер avast заработал, наконец-то меня пустили в "Учетные записи пользователей".
    Спасибо!
    Осталось без изменений: траф так и качается, вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows.
    Файл tcpip.sys я заменил
    Высылаю новые логи.
    Зверей основных разогнали ... в AVZ меню "Файл\резервное копирование", там следует отметить пункт номер 7 и нажать "выполнить". После этого в папке AVZ\BackUp появится User_WF.reg_<дата-время>.reg. Его следует прицепить сюда в архиве ZIP (это настройки брандмауэра Windows). Далее AVZ, Меню "Файл\Восстановление системы", там выделиьт позиции 6 и 9 и выполнить восстановление. Сразу после этого можно попоробовать открыть настройки брандмауэра, может сработает.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот о проблемах с брандмауэром:
    http://support.microsoft.com/kb/920074/ru
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    107
    Вес репутации
    61
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Зверей основных разогнали ... в AVZ меню "Файл\резервное копирование", там следует отметить пункт номер 7 и нажать "выполнить". После этого в папке AVZ\BackUp появится User_WF.reg_<дата-время>.reg. Его следует прицепить сюда в архиве ZIP (это настройки брандмауэра Windows). Далее AVZ, Меню "Файл\Восстановление системы", там выделиьт позиции 6 и 9 и выполнить восстановление. Сразу после этого можно попоробовать открыть настройки брандмауэра, может сработает.
    Все сделал - брандмауэр не запускается.
    Прикрепляю User_WF.reg в архиве
    Последний раз редактировалось monia; 13.06.2008 в 15:09.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от monia Посмотреть сообщение
    Все сделал - брандмауэр не запускается.
    Прикрепляю User_WF.reg в архиве
    настройки полностью убиты ... я так и думал. В аттаче REG файл для этого ключика, экспортирвоанный на "живой" XP SP2 - я советую импортировать его и перезагрузиться, может поможет.
    Последний раз редактировалось Зайцев Олег; 19.10.2008 в 22:03.

  17. #16
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    107
    Вес репутации
    61
    Заработал, спасибо!
    Последний раз редактировалось monia; 12.09.2007 в 20:32.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Логи сделайте ещё раз.

  19. #18
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    107
    Вес репутации
    61
    После всего проделанного решил еще раз провериться утилитой Cureit. Результат:
    C:\Documents and Settings\Администратор...\A003733.exe инфицирован Trojan.Muldrop.8511
    C:\Downloads\Архивы\avz4\avz4\Quarantine\2007-09-12\avz00001.dta
    инфицирован Trojan.NtRootKit.371
    Удалено. Однако траф качается даже при отключеном браузере и это точно не обновления.
    Цитата Сообщение от Maxim Посмотреть сообщение
    Логи сделайте ещё раз.
    Сделал, вложил.
    Последний раз редактировалось monia; 13.06.2008 в 15:09.

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от monia Посмотреть сообщение
    После всего проделанного решил еще раз провериться утилитой Cureit. Результат:
    C:\Documents and Settings\Администратор...\A003733.exe инфицирован Trojan.Muldrop.8511
    C:\Downloads\Архивы\avz4\avz4\Quarantine\2007-09-12\avz00001.dta
    инфицирован Trojan.NtRootKit.371
    Удалено. Однако траф качается даже при отключеном браузере и это точно не обновления.

    Сделал, вложил.
    Это как я понимаю домашний ПК, без выхода на некую "домашнюю" сеть ? Если это так, то выполните:
    1. следующий скрипт:
    Код:
    begin
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('RemoteRegistry', 4);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    end.
    2. следует открыть свойства сетевого соединения с Инет - там как минимум нужно снять птичку с "Службы доступа к файлам и принтерам сети Microsoft"
    3. Следует поменять пароли (на своей учетной записи и учетной записи админа)
    4. В ходе выполнения операции 3 в списке пользователей ("Мой компьютер\Управление" - там "Локальные пользователи и группы\Пользователи") посмотреть, не появились ли посторонние пользователи
    5. В AVZ включить AVZPM
    6. Перезагрузиться и после этого посмотреть, идет ли трафик
    7. После перезагрузки запустить сканирование AVZ (все по умолчанию) и посмотреть, не найдет ли он что-то в разделе "1.4 Поиск маскировки процессов и драйверов"

  21. #20
    Junior Member Репутация
    Регистрация
    12.09.2007
    Сообщений
    107
    Вес репутации
    61
    Не помогло

  • Уважаемый(ая) monia, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 57
      Последнее сообщение: 14.10.2010, 12:40
    2. Вирус отключил все антивирусы
      От anmprop в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.07.2010, 00:11
    3. Провайдер закрывает доступ в сеть
      От Akson в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.01.2010, 15:23
    4. Ответов: 4
      Последнее сообщение: 05.08.2009, 19:00
    5. Ответов: 14
      Последнее сообщение: 04.02.2009, 12:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00469 seconds with 19 queries