-
Junior Member
- Вес репутации
- 54
Троян Win32/Injektor.AAU
Троян Win32/Injektor.AAU
После входа в интернет Нод32 обнаружил троян, жму "заветшить", появляеться снова, затем несколько червей и вирусов.
Глубокий анализ Нод32 этот троян не обнаружил. А AVZ только те, что были скачаны с интернета. Самое главное, что через некоторое время (примерно 2-5 мин) происходит разьединение с интернетом, хотя в панели задач значок присутствует. Такчто даже обновление антивирусных баз данных скачать проблематично.
Вот логи AVZ и HijackThis.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\ncdrive32.exe','');
QuarantineFile('E:\RECYCLER\S-1-5-21-5130576560-1637618362-650604787-8449\wnzip32.exe','');
QuarantineFile('E:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('E:\WINDOWS\usb_magr.exe','');
QuarantineFile('E:\WINDOWS\usb_drv.exe','');
DeleteFile('E:\RECYCLER\S-1-5-21-5130576560-1637618362-650604787-8449\wnzip32.exe');
DeleteFile('E:\WINDOWS\ncdrive32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=56987).
Повторите п.2 раздела Диагностика и сделайте лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось Bratez; 13.10.2009 в 19:07.
Причина: убрал лишнее вложение
-
virus.zip удалите из вложений и загрузите согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Где лог gmer, который запрашивался дополнительно?
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\windows\usb_magr.exe');
QuarantineFile('e:\windows\usb_magr.exe','');
TerminateProcessByName('e:\windows\usb_drv.exe');
QuarantineFile('e:\windows\usb_drv.exe','');
DeleteFile('e:\windows\usb_drv.exe');
DeleteFile('e:\windows\usb_magr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Bus device');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Serial Bus device');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось Rozerlef; 13.10.2009 в 12:29.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer:
Код:
j9c17pgw.exe -del service aczczyxj
j9c17pgw.exe -del file "E:\WINDOWS\system32\nwyzxwi.dll"
j9c17pgw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aczczyxj"
j9c17pgw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\aczczyxj"
j9c17pgw.exe -reboot
И запустите cleanup.bat. Компьютер перезагрузится!
Ждем свежий лог гмер.
-
-
Junior Member
- Вес репутации
- 54
вот лог.
ЗЫ: Теперь Нод32 не видет ни вирусов ни червей, а проблема осталась, интернет сеть перестает работать через некоторое время.
-
-
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('E:\WINDOWS\system32\nwyzxwi.dll','');
QuarantineFile('E:\WINDOWS\innounp.exe','');
DeleteFile('E:\WINDOWS\innounp.exe');
DeleteFile('E:\WINDOWS\system32\nwyzxwi.dll');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\aczczyxj');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\aczczyxj');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.+ лог gmer
Последний раз редактировалось snifer67; 13.10.2009 в 17:56.
Причина: добавил чуть-чуть
-
-
Junior Member
- Вес репутации
- 54
пишет, что ошибка в скрипте (ошибка ';' extendet в позиции 15:1)
-
-
-
Junior Member
- Вес репутации
- 54
gmer будет позже. Если это трудноизлечимо, может легче снести виндоуз и установить заного?
-
Сообщение от
Rozerlef
Если это трудноизлечимо, может легче снести виндоуз и установить заного?
Спокойно! Дело близится к завершению.
I am not young enough to know everything...
-
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('e:\windows\msdriver32.exe');
QuarantineFile('e:\windows\msdriver32.exe','');
DeleteFile('e:\windows\msdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи AVZ.
Последний раз редактировалось Bratez; 13.10.2009 в 19:13.
-
-
+
обновите базы своего антивируса, а то не успеваем одно прибить, как вы другое подхватываете. Если не обновляется, то замените его на что-то более работающее, например триал Касперского.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Установил Касперсого, обновил.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\autorun.inf','');
DeleteFile('J:\autorun.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Все, что мешалось удалил, мегаграц!
-
Ничего подозрительного не увидел
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 87
- В ходе лечения вредоносные программы в карантинах не обнаружены
-