Trojan Looksky

[Miss Moneypenny]

Пишу с другого компютера.

Мне на выходных подарили на мой ноутбук вместе с установочными файлами программы - троян Looksky.
Сканировать утилитой AVZ для сбора информации не могу - компютер работает медленно. И вообще работать на нем практически не могу.
Обычное сканирование Касперским ничего до конца не удалило.
Ни один из моих анти-спай сканеров тоже до конца ничего не удалил. Сканировала A-squared, Ad-Aware, AVZ, Spybot .
Проверку компютера SpyBot троян абортирует.
В интернет с зараженной машины выйти не могу - троян замедляет или блокирует, предлагает доступ к инету в автономном режиме и приобрести их фальшивую антивирусную программу с предлагаемой страницы.
Что я смогла сделать:
1) Отключила систему восстановления Виндоус.
2) Перешла на безопасный режим.
3) Сканирую Касперским в безопасном режиме уже на протяжении 5 часов.
4) Скачала на флешку найденные на других форумах SmitfraudFix, Dr.Web CureIt может, планирую ими просканировать после Касперского.

По всем вышеперечисленным причинам, к сожалению, логи прикрепить не могу.

Пожалуйста, если у вас есть каки-либо еще советы, поделитесь!

[Bratez]

Попробуйте в безопасном режиме выполнить лог, как указано здесь:
http://virusinfo.info/showthread.php?t=10387
Это не должно занять много времени даже при сильных тормозах.

[Miss Moneypenny]

Спасибо!

Я смогла пока только найти в своем ноутбуке и скопировать через флешку результат выполнения следующей команды:

Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол

Его я и прикрепляю. Над остальным я пока работаю (ноут еле-еле пашет).

Еще раз огромное спасибо за отклик!

[Bratez]

Над остальным я пока работаю (ноут еле-еле пашет).

Пока ничего другого не надо.

Выполните скрипт в AVZ в безопасном режиме:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\mxduo.dll','');
 QuarantineFile('C:\WINDOWS\wmphost.dll','');
 QuarantineFile('C:\WINDOWS\wmpdev.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

[drongo]

Первым делом, удалить AVG antyspyware, просто лишние тормоза.
эту функцию достаточно успешно исполняет касперский который уже установлен, только в настойках указать чтобы это делал
три файла, которые нужно прислать:

C:\WINDOWS\mxduo.dll
C:\WINDOWS\wmphost.dll
C:\WINDOWS\wmpdev.dll



Bratez уже сказал как их заархивировать

[Miss Moneypenny]

[quote=Bratez;129716]

Выполните скрипт в AVZ в безопасном режиме:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\mxduo.dll','');
 QuarantineFile('C:\WINDOWS\wmphost.dll','');
 QuarantineFile('C:\WINDOWS\wmpdev.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

quote]
Спасибо, но у меня не получается выполнить этот скрипт - ошибки со скобками ')' в скрипте

[PavelA]

Обновить надо AVZ. Текущая версия 4.25

[Miss Moneypenny]

Обновить надо AVZ. Текущая версия 4.25

Какая была ссылка на АВЗ 4 в правилах, на такую и обновила. Все равно ошибку скрипта выдаёт.
Сейчас поищу свежую.....

[Rene-gad]

Какая была ссылка на АВЗ 4 в правилах, на такую и обновила.

может Вы чего-то не туда скачали: по ссылке должна версия 4.25 грузиться. А у Вас в логе:

Протокол исследования системы
AVZ 4.24 http://z-oleg.com/secur/avz.htm

[Miss Moneypenny]

может Вы чего-то не туда скачали: по ссылке должна версия 4.25 грузиться. А у Вас в логе:

Пока я не исправила проблему с трояном (сейчас, кажется, всё улеглось, но с последствиями), мой ноутбук работал медленно даже в безопасном режиме и не воспринимал флешку с версией AVZ с апдейтом. ПОэтому первый лог я прикрепила, выполнив его с горем пополам старой версией AVZ.
Потом я поставила апдейт, но указанный скрипт всё равно не смогла выполнить из-за ошибок ")" такого рода.

Добавлено через 54 минуты

ПРикрепляю логи!

Лог от Dr.Web сохранился от процедуры удаления трояна в безопасном режиме (удаляла с помощью Касперского и SnitfraudFix).
Уже после сделала логи ХайДжек и АВЗ4,25.

Следов трояна я невооруженным глазом обнаружить не могу хотя, кто знает..........

[Miss Moneypenny]

Файлы карантина:
(Если Касперский ещё чего-то отставил для карантина)

[moderated! Карантин нужно присылать согласно правил.]

[Bratez]

В скрипте ошибок нет, и в 4.24 версии по идее должен работать.
В любом случае, пока нужны только три этих файла:
C:\WINDOWS\mxduo.dll
C:\WINDOWS\wmphost.dll
C:\WINDOWS\wmpdev.dll
Добавьте их в карантин вручную и пришлите по правилам.

[Miss Moneypenny]

В скрипте ошибок нет, и в 4.24 версии по идее должен работать.
В любом случае, пока нужны только три этих файла:
C:\WINDOWS\mxduo.dll
C:\WINDOWS\wmphost.dll
C:\WINDOWS\wmpdev.dll
Добавьте их в карантин вручную и пришлите по правилам.

Простите, я сильно тупила со скриптом......
Но на заражённом компьтере он был бесполезен - всё равно я не могла в интернет выйти, вбивала текст скрипта с другой машины вручную, вот и ошибки откуда-то проскальзывали.
После устранения неполадок и выхода в интернет (сейчас) смогла выполнить скрипт, добавлением его copy-paste.

[Bratez]

1. Карантин в тему прикреплять нельзя! Читайте правила внимательно.

2. Очевидно, вы уже удалили эти файлы каким-то из своих антивирусов.
Теперь опять непонятно, что у вас там есть а чего уже нет. Если проблемы еще есть, сделайте новые логи, и просьба действовать согласно указаниям хэлперов, а не заниматься самолечением.

[Miss Moneypenny]

1. Карантин в тему прикреплять нельзя! Читайте правила внимательно.

2. Очевидно, вы уже удалили эти файлы каким-то из своих антивирусов.
Теперь опять непонятно, что у вас там есть а чего уже нет. Если проблемы еще есть, сделайте новые логи, и просьба действовать согласно указаниям хэлперов, а не заниматься самолечением.

Спасибо огромное!
Видимо, Касперский рулит! (а что, лог от Dr.Web так ничего интересного и не показал??)
Без самолечения пришлось бы туго - с машиной надо было работать, доклад на носу, а машина полетела (по закону Мёрфи), шеф голову отрывал... Пардон......

[Rene-gad]

с машиной надо было работать, доклад на носу, а машина полетела ...шеф голову отрывал...

Так обьясните популярно Вашему шефу, что при такой системе его доклад первым кто-нибудь другой прочитает.... А если у него возникнут вопросы - пусть сюда заглянет: мы постараемся обьяснить.

[PavelA]

а что, лог от Dr.Web так ничего интересного и не показал??)

Где же он спрятался (лог)? Все перерыл, но его я так и не увидел.