Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Помогите!! троян :( (заявка № 12366)

  1. #1
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    61

    Thumbs up Помогите!! троян :(

    Приветствую. Прошу о помощи. Прочитал о похожих проблемах, но у меня немного по другому. Стало постоянно выскакивать окно с текстом:
    Warning! Potential Spyware Operation!
    Your computer is making unauthorized copies of your system and internet files. Click YES to dounload spyware remover....
    Если кликаешь YES - идет по несуществующей ссылке.
    Еще пропала панель управления и не открывался календарь.
    Сканировал nod32 - ничего, dr. Web нашел 8 объектов, зараженных трояном, один не может вылечить. Это system.txt Несколько раз пробовал - не может его вылечить. Все проблемы "ушли". Но после перезагрузки теперь не может найти printer.exe в папке system32 (он тоже был заражен). Воспользовался avz и hi jack
    По правилам прилагаю файлы. Помогите разобраться, плиз.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
    04 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    выполните скрипт....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\printer.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
     QuarantineFile('C:\WINDOWS\system32\systems.txt','');
     DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
     DeleteFile(C:\WINDOWS\system32\printer.exe');     
     //Вызов скрипта восстановления системы
     ExecuteRepair(16);
     ExecuteRepair(9);
     ClearHostsFile;
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    Последний раз редактировалось Зайцев Олег; 11.09.2007 в 22:45.

  4. #3
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    61
    Спасибо огромное за быстрый ответ, мистер Bond !

    сейчас поробую Ваше лекарство

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Stasus Посмотреть сообщение
    сейчас поробую Ваше лекарство
    Обратите внимание - выполнять нужно текущий вариант скрипта, я его немного модифицировал.

  6. #5
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    61
    Всем огромное спасибо! Карантин отправил, все ок

    ВЫРУЧИЛИ!!!

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    :\WINDOWS\system32\systems.txt not-virus:Hoax.Win32.Renos.jh
    выполните скрипт....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\printer.exe');
     DeleteFile('C:\WINDOWS\system32\systems.txt');       
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи....

  8. #7
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    61
    сделал, отправил)

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    логи нужно прикреплять ,а не отправлять....

  10. #9
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    61
    вот.. я подозревал т.е. сделать те же, что и в начале самом? avz и
    hijack?

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    да точно так три лога... только новых.....

  12. #11
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    61
    )
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ....
    Код:
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\systems.txt');
     DelWinlogonNotifyByFileName('C:\WINDOWS\system32\systems.txt');
     ExecuteRepair(17);
     ClearHostsFile;     
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи....
    Последний раз редактировалось V_Bond; 12.09.2007 в 00:55.

  14. #13
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    61
    Простите, с первым кодом что нужно сделать?

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523

  16. #15
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    61
    да, спасибо)
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все чисто. Только вот эту строчку еще пофиксите:
    Код:
    O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing)
    И посмотрите, что вам нужно из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    (остальное поправим).
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    61
    Пофиксил.
    Из служб и безопасностей ничего необычного не нужно. Это обычный домашний ПК. Я даже затрудняюсь 100% ответить

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Stasus, на домашнем я без всего этого живу и нормально, максимум потом можно исправить.
    Код:
    begin
    SetServiceStart('RemoteRegistry', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('RDSessMgr', 4);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RebootWindows(true);
    end.

  20. #19
    Junior Member Репутация
    Регистрация
    11.09.2007
    Сообщений
    11
    Вес репутации
    61
    скрипт выполнен, спасибо. ПК: Я здоров?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от Stasus Посмотреть сообщение
    скрипт выполнен, спасибо. ПК: Я здоров?
    Здоровых людей нет, есть недобследованные Судя по логам, комп чист. Чтобы уменьшить шанс заражения, на будущее : 1) Работать за компьютером с правами ограниченного пользователя. 2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....) 3) Прочитать электронную книгу"Безопасный Интернет-Универсальная защита для Windows ME - Vista";: http://security-advisory.newmail.ru Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519 Мы будем Вам очень благодарны!

  • Уважаемый(ая) Stasus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. помогите!троян!!
      От tenoy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.09.2010, 22:15
    2. Помогите. троян
      От JaguarRiP в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.11.2009, 21:33
    3. Троян.Помогите.
      От mironus в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 06:54
    4. Помогите троян
      От Константин31. в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 02.10.2008, 21:05
    5. Помогите! Троян!
      От paine в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.01.2008, 01:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00801 seconds with 20 queries