-
Junior Member
- Вес репутации
- 47
Появляется троян после переустановки системы
Занесли (как я сейчас думаю, на флешке вирус ... или вирусы). Сильно тормозил работу в интернете. Страницы очень долго грузились или вообще не грузились. Установлен Avast. Определил кучу всяких паразитов. Что-то с его помощью вылечил, что-то не вылечивалось - пришлось удалить через Avast. После чистки вроде бы ничего не находил более, но торможение все равно осталось и трафик по прежнему ест. Поскольку в системном администрировании не очень силен, то переустановил систему (XP SP3) с форматированием системного диска. Сразу же поставил Outpost Firewall и Avast. И вскоре после переустановки снова был отловлен троян (и при том не в одном месте)- Win32: Downloader-IED [Trj].
Помогите, пожалуйста, разобраться с проблемой.
Последний раз редактировалось hubble; 26.06.2011 в 23:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) hubble, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Прилагаемые файлы к первому посту:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Valery\Application Data\Vtmkmf.exe','');
QuarantineFile('C:\Documents and Settings\Valery\Application Data\Bvmkml.exe','');
DeleteFile('C:\Documents and Settings\Valery\Application Data\Bvmkml.exe');
DeleteFile('C:\Documents and Settings\Valery\Application Data\Vtmkmf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vtmkmf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Bvmkml');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Здравствуйте.
Загрузку скрипта, согласно вашей рекомендации, произвел.
После перезагрузки компьютера в папке Quarantine было пусто.
Папка Quarantine заполнилась только после второй перезагрузки, которую выполнил после создания лога virusinfo_syscure.zip (перезагрузку сделал тогда, когда было указано в правилах).
P.S. Приложил также сообщение (virus.JPG), которое выскакивает через некоторое время после перезагрузки компьютера (оно выскакивало и ранее).
P.P.S. И еще, забыл указать - в папке /system32/ плодятся файлы в формате xx.exe, где xx - произвольные числа. Я их блокирую в Avast`e.
-
Junior Member
- Вес репутации
- 47
Пока писал вам ответ, из папки Quarantine снова исчезли все файлы.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\76.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\08.exe - Trojan.Win32.Genome.slaz ( DrWEB: BackDoor.IRC.Bot.1162, BitDefender: Trojan.Generic.KD.272399, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\windows\\system32\\14.exe - Trojan.Win32.Genome.slaz ( DrWEB: BackDoor.IRC.Bot.1162, BitDefender: Trojan.Generic.KD.272399, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\windows\\system32\\26.exe - Trojan.Win32.Genome.slaz ( DrWEB: BackDoor.IRC.Bot.1162, BitDefender: Trojan.Generic.KD.272399, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\windows\\system32\\38.exe - Trojan.Win32.Genome.slaz ( DrWEB: BackDoor.IRC.Bot.1162, BitDefender: Trojan.Generic.KD.272399, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
- c:\\windows\\system32\\76.exe - Trojan.Win32.Genome.slaz ( DrWEB: BackDoor.IRC.Bot.1162, BitDefender: Trojan.Generic.KD.272399, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:MalOb-EI [Cryp] )
-