Показано с 1 по 7 из 7.

Коктейль из троянов после посещения сайта (заявка № 56656)

  1. #1
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    8
    Вес репутации
    53

    Thumbs up Коктейль из троянов после посещения сайта

    Добрый день! Вчера вечером случайно кликнул на редирект на какой-то сайт. Стоял Norton AV 2005 - он ругнулся на вирус на сайте, я закрыл браузер. Ни по одной ссылке на том сайте не кликал, ничего не нажимал. И началось.

    Сначала были такие симптомы - постоянное обращение к дисководу каждые 5 секунд. На все внешние носители записываются скрытые файлы Autorun.exe и Autorun.inf.

    Не запускается Word, Outlook - пишет недостаточно памяти.

    Сделал полную проверку Norton 2005 - без результатов. Установил ESET Smart Security 4 (разумеется базы везде последние), сделал полный скан - что-то удалилось, но все симптомы остались на месте.

    Поставил Kaspersky Internet Security 10, сделал полный скан - симптомы остались. Создал загрузочный Kaspersky Rescue Disk, загрузился с него, сделал полную проверку жесткого диска. Опять удалил массу всего, как и при проверке в работающей ОС.

    Симптомы остались. Прилагаю скрин Касперского:



    Касперский начал что-то обнаруживать при старте системы, предлагал 2 раза вылечить в особом режиме с перезагрузкой - после этого слетел видеодрайвер, а вирус остался. Прилагаю логи.

    Помогите, пожалуйста - нет бэкапов, поднимать систему неоткуда. Работает все хуже.

    ***

    После лечения Касперским дисковод каждые 5 секунд "дрыгаться" перестал, но Word и Outlook не запускаются - пишут "недостаточно памяти".

    Еще проблема - слетел видеодрайвер. Удалил, а обратно он не ставится! Просто вылетает при копировании файлов. Также выскакивало сообщение, что у меня нет прав на перезагрузку или выключение системы. Сейчас вроде работает.

    Excel тоже не запускается - вылезает всегда пустая таблица. Пишет - "не может найти файл", хотя файл пока на месте (надеюсь он не поврежден вирусом? Для меня это катастрофа)

    Как такое может быть при обычном посещении сайта (редиректе)? И можно ли еще что-либо сделать?
    Последний раз редактировалось AndreyKa; 08.10.2009 в 09:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    SetAVZPMStatus(True);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
    RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     QuarantineFile('c:\windows\system32\winagent.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\mmmsmtrtmg.dll','');
     DeleteFile('C:\WINDOWS\system32\mmmsmtrtmg.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
     DeleteFile('c:\windows\system32\winagent.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Свойства обозревателя - Безопасность - Выбрать уровень безопасности по умолчанию для всех зон.

    Подключите какой-нибудь внешний накопитель.
    Сделайте новые логи AVZ и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    8
    Вес репутации
    53
    Огромное спасибо за ответ! Закачал карантин - пароль virus.

    Вопрос насчет карантина - я делал по инструкции, а там не сказано, что надо проводить лечение AVZ. Так что карантин дефолтный после скана как у вас в инструкции - это правильно?

    Прилагаю новые логи.

    ***

    Сделал как написали, скрипт выполнился, но комп завис при перезагрузке. Нажал Reset - стало лучше! Спасибо! Теперь Word, Excel и Outlook снова запускаются, дисковод не трещит каждые 5 секунд. Чем еще можно проверить, чтобы вытравить всю эту заразу?
    Последний раз редактировалось AndreyKa; 08.10.2009 в 10:29.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Old School Посмотреть сообщение
    я делал по инструкции, а там не сказано, что надо проводить лечение AVZ.
    По какой это инструкции?
    Не надо одно и тоже в двух архивах загружать.
    Системный файл C:\WINDOWS\System32\sfcfiles.dll восстановите из дистрибутива или возьмите из приложенного архива.

  6. #5
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    8
    Вес репутации
    53
    AndreyKa
    Большое спасибо за помощь! Спасли жизнь!

    Делал несколько раз проверку на вирусы KIS - что-то вылазило, наверное остатки, последний раз все чисто.

    Беспокоят следующие строки из лога HiJackThis:

    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

    Этот файл - ctfmon.exe - должен быть в автозагрузке?

    Кроме этого, делал проверку Dr. Web и получил такие сообщения (проверка KIS на этот момент уже давала отрицательный результат):





    Я решил пока без вашего одобрения не восстанавливать Hosts в стандартное состояние - может быть, его KIS модифицировала? Стоит ли восстановить?

    В целом система работает отлично.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    ctfmon.exe - это языковая панель.
    Файл hosts можно восстановить, в логах все нормально.
    I am not young enough to know everything...

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\mmmsmtrtmg.dll - Trojan-PSW.Win32.Small.ke ( DrWEB: Trojan.PWS.Webmonier.200, BitDefender: Gen:Trojan.Heur.PT.bC8ab04Ij5jc )
      2. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( AVAST4: Win32:Patched-KP [Trj] )
      3. c:\windows\system32\winagent.exe - Backdoor.Win32.Buterat.ab ( DrWEB: BackDoor.Butirat )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Old School, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 22.10.2009, 15:12
    2. Ответов: 27
      Последнее сообщение: 19.05.2009, 18:37
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 02:43
    4. Ответов: 2
      Последнее сообщение: 26.05.2008, 05:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00329 seconds with 17 queries