Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Побило троянами (заявка № 12432)

  1. #1
    Junior Member Репутация
    Регистрация
    13.09.2007
    Сообщений
    18
    Вес репутации
    38

    Thumbs up Побило троянами

    При загрузке комп. пытается подключить инет, начинает что-то качать, а потом перезагружается.
    Выполняя Ваши правила, получил следующий результат. Что делать? Помогите.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
    O4 - HKCU\..\Run: [System] C:\WINDOWS\csrss.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ВИКТОР\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
    O21 - SSODL: Windows Update - {459FA2B2-E4C2-13D4-CA84-03501F45B839} - C:\WINDOWS\System32\oobe\csrss.exe (file missing)
    выполните крипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys ','');
     QuarantineFile('c:\Recycled\userinit.exe','');
     QuarantineFile('c:\windows\system32\tcpsvcs.exe','');
     QuarantineFile('C:\WINDOWS\system32\adtool.dll','');
     QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\rpcc.exe','');
     QuarantineFile('C:\WINDOWS\System32\vbsys2.dll','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
     QuarantineFile('\SystemRoot\System32\DRIVERS\tcpip.sys','');
     QuarantineFile('\SystemRoot\SYSTEM32\spooldr.sys','');
     QuarantineFile('C:\WINDOWS\system32\msdvdr.pif','');
     QuarantineFile('C:\WINDOWS\spooldr.exe','');
     QuarantineFile('C:\WINDOWS\retadpu27.exe','');
     QuarantineFile('C:\WINDOWS\perfmon.exe','');
     QuarantineFile('C:\Program Files\Microsoft ActiveSync\rapiproxystub.dll','');
     QuarantineFile('c:\program files\winable\winable.exe','');
     QuarantineFile('c:\docume~1\ВИКТОР\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\windows\system32\msdvdr.pif');
     DeleteFile('c:\windows\perfmon.exe');
     DeleteFile('c:\windows\spooldr.exe');
     DeleteFile('c:\windows\retadpu27.exe');
     DeleteFile('c:\docume~1\ВИКТОР\locals~1\temp\winlogon.exe');
     DeleteFile('\SystemRoot\SYSTEM32\spooldr.sys');
     DeleteFile('\SystemRoot\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\System32\vbsys2.dll');
     DeleteFile('C:\WINDOWS\system32\rpcc.exe');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
     DeleteFile('C:\WINDOWS\system32\adtool.dll');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    13.09.2007
    Сообщений
    18
    Вес репутации
    38
    Код:
    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
    Не нашел
    А после того так пофиксил, перестал запускаться AVZ.
    Что делать??

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    скачать avz заново и переименовать исполняемый файл avz.exe в lol.com

  6. #5
    Junior Member Репутация
    Регистрация
    13.09.2007
    Сообщений
    18
    Вес репутации
    38
    Манипуляции с avz помогли. Выслал карантин.
    При повторении логов п.8 Правил через 4-6 секунд появляется "синий экран смерти"...
    Помогите.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Пробуйте в безопасном режиме сделать логи и ещё один :http://virusinfo.info/showthread.php?t=10387

  8. #7
    Junior Member Репутация
    Регистрация
    13.09.2007
    Сообщений
    18
    Вес репутации
    38
    Все сделал. Высылаю логи.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
    O2 - BHO: HtmlView Helper - {E496675D-472B-4A82-A4F7-2EBBE5DA6754} - C:\WINDOWS\system32\adtool.dll (file missing)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://www.z32803.infobox.ru//style.css::/open.exe
    O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix-i.com/download/ipixx.cab
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    O21 - SSODL: Battery Monitor - {459352B2-D4CE-13D4-2D78-03501003EF20} - shlapiw32.dll (file missing)
    2.Загрузиться в сейфмод, зайти в панель управления и удалить mywebsearch.
    3.в сейфмод :выполните cкрипт...

    Код:
    begin
     QuarantineFile('c:\Recycled\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\msdvdr.sys','');
     DeleteFile('c:\Recycled\userinit.exe');
     DeleteFile('C:\WINDOWS\system32\msdvdr.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\Phkf39.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(12);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    4.Попробуйте в нормальном режиме сделать логи
    5.PAVWAIT.DLL- найти через AVZ и прислать по второму пункту правил
    Последний раз редактировалось drongo; 14.09.2007 в 19:12.

  10. #9
    Junior Member Репутация
    Регистрация
    13.09.2007
    Сообщений
    18
    Вес репутации
    38
    удалить mywebsearch
    Не понял, как его удалить? Из установки и уделения програм?? Подскажите.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    да, из установки и удаления программ... зачем вам этот набор адварей

  12. #11
    Junior Member Репутация
    Регистрация
    13.09.2007
    Сообщений
    18
    Вес репутации
    38
    Высылаю логи и протокол поиска PAVWAIT.DLL.
    Кажется с ним глухо.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('c:\Recycled\userinit.exe','');
     DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temporary Internet Files\Content.IE5\4TAZ8PUN\windin2[1].exe');
     DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temp\2.tmp');
     DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temp\18.tmp');
     DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Temp\3.tmp');
     DeleteFile('c:\Recycled\userinit.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(11);
    BC_Activate;
    RebootWindows(true);
    end.
    2. Искать PAVWAIT.DLL в AVZ надо через "Сервис" - "Поиск файлов на диске". Если не найдется, попробуйте вначале выполнить стандартный скрипт #1. В случае успеха добавьте его в карантин.

    3. Пришлите карантин по правилам.

    Добавлено через 3 минуты

    4. В AVZ зайдите в Сервис - Менеджер ActiveSetup и удалите там строчку с 'c:\Recycled\userinit.exe'
    Последний раз редактировалось Bratez; 15.09.2007 в 14:55. Причина: Добавлено
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    13.09.2007
    Сообщений
    18
    Вес репутации
    38
    Все сделал как говорили, только PAVWAIT.DLL найти так и не удалось. ((
    Что дальше?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сделайте новые логи.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    13.09.2007
    Сообщений
    18
    Вес репутации
    38
    Новые логи...
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    очистите корзину ...
    что из этого используется ?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  18. #17
    Junior Member Репутация
    Регистрация
    13.09.2007
    Сообщений
    18
    Вес репутации
    38
    Корзину очистил.
    А как узнать, что из этого используется??
    Знаю, что есть автозапуск с CDROM. А вот с остальным... Вопрос

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Цитата Сообщение от Victoribn Посмотреть сообщение
    А как узнать, что из этого используется??
    компьютер домашний или рабочий ? подключен к локальной сети?

  20. #19
    Junior Member Репутация
    Регистрация
    13.09.2007
    Сообщений
    18
    Вес репутации
    38
    Это ведущий комп. к нему подключен ноутбук по локалке для использования СТРИМа. Ни какими планировщиками я не пользуюсь, удаленного помощника не приглашаю. Только из дома выхожу в инет.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Тогда вот так:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  • Уважаемый(ая) Victoribn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Проблема с троянами
      От VaNcHeR в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 07.05.2009, 09:02
    2. Dr web не справляется с троянами
      От stas1405 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:11
    3. Борьба с троянами
      От Сергей1974 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.08.2008, 20:57
    4. URL c троянами
      От в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 19.04.2005, 17:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00550 seconds with 17 queries