-
Junior Member
- Вес репутации
- 62
Трояны-заражение
Недавно взломали асю (2 дня назад). Подозреваю что троем вскрыли, его я не нашел просканил
всю систему на том и успокоился. И сегодня с утра пошло поехало вирус за вирусом...
Win32:Small - EPJ[Trj]
Win32:Agent - LYK[Trj]
Win32:Agent - KIR[Trj]
Посстаянно выдает что идет соединение на котором заражение и выдает странные адреса.
Комп постоянно ребутится самостоятельно... вот только в сейв моде смог подержать его
подольше и запусть сканер AVZ и HJ.
Помогите пож-та. Зарание благодарен.
Логи:
Вложение 19656
Вложение 19657
Последний раз редактировалось LamBerT; 12.03.2010 в 22:50.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
virusinfo_syscure.zip нужен. Карантин отсюда надо убрать.
Логи посмотрю.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\DOCUME~1\Fenix\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\drivers\Acqr67.sys','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll');
DeleteFile('c:\windows\system32\drivers\Acqr67.sys');
DeleteFile('C:\DOCUME~1\Fenix\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Пофиксите в HijackThis (что останется):
Код:
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\system32\_svchost.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Fenix\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll
Обновите базы AVZ.
Сделайте новые логи в нормальном режиме.
I am not young enough to know everything...
-
-
ConnectionServices просто можно деинсталлировать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Что написали сделал, щас вывешу логи... помогло. СПАСИБО.
Базы обновил. правда моему Avast'у что-то там не понравилось в папке с AVZ... выдал 2 троя.
Что добавлять в карантин?
Тогда погодите отрублю и сново прогоню...
Последний раз редактировалось LamBerT; 11.10.2007 в 18:42.
-
На время проверок антивирус надо отключать, а то он нашу добычу съест.
Грузи весь карантин через http://virusinfo.info/upload_virus.php?tid=13104
См. приложение 3 Правил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Новые логи:
Вложение 19710
Вложение 19711
Вложение 19712
Карантин отправил.
071011_094700_virus_470e37645dbff.zip
Всем еще раз огромное спасибо!=)
Последний раз редактировалось LamBerT; 12.03.2010 в 22:50.
-
Выплыл еще один.
Выполнять в защищенном режиме:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_deleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_DeleteSvc('Microsoft Internet Explorer');
BC_Activate;
RebootWindows(true);
end.
Добавлено через 2 минуты
На асе пароль сменил?
Последний раз редактировалось PavelA; 11.10.2007 в 18:52.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнил.
Обновленные логи:
Вложение 19713
Вложение 19714
Вложение 19715
Старый уин аси ради прикола кто-то вскрыл и сменил пароль, потому как на продажу 9-знак самый обычный явно не тянет, жалко просто 2 года на ней сидел ни разу даже намека не было, все меня под ней знали, примак не ставил, не думал, что может понадобиться... а как еще вернуть не знаю... пароль не подходит, из поддерки ась-кью ответа нет. Пароли сменил везде поставил 16-знак-букв-символ (на асю 8 ) =))))
Последний раз редактировалось LamBerT; 12.03.2010 в 22:50.
-
Просто фантастика! Одного убиваешь на его место два новых залетает.
почисти временные файлы Инета. Ни на один сайт пока не ходи.
Сейчас еще парочку удалять будем, опять же в защищенном режиме.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Clearquarantine;
QuarantineFile('\SystemRoot\System32\Drivers\augyrxkd.SYS','');
QuarantineFile('C:\WINDOWS\system32\kprof','');
QuarantineFile('C:\WINDOWS\system32\poof','');
BC_Deletefile('C:\WINDOWS\system32\poof');
BC_Deletefile('C:\WINDOWS\system32\kprof');
BC_DeleteSvc('poof');
BC_Deletesvc('kprof');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Затем сделать новые логи
и загрузить карантин, куда положено.
Последний раз редактировалось PavelA; 11.10.2007 в 19:15.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Вынужден отойти на 15-20 минут.
мдя... кролики блин что ли!?
Напишите пока что сдеалть пож-та...
Добавлено через 5 минут
Может быть где-то что-то на других дисках засело и распространяется, я ведь только системынй сканю...
Скрипт выполнил. логи
Вложение 19729
Вложение 19730
Вложение 19731
Карантин еще раз закинуть?
Последний раз редактировалось LamBerT; 12.03.2010 в 22:49.
-
C:\Program Files\PremiumSoft\Navicat MySQL\navicat.exe.BAK- Trojan-Dropper.Win32.Delf.ahf (kaspersky)
загрузчик троянов- пока не удалите- можно только новых ждать
-
-
Junior Member
- Вес репутации
- 62
А что мне с ним делать-то?
-
Сообщение от
LamBerT
А что мне с ним делать-то?
удалить советую на всякий случай просканировать касперским как указано в правилах , может ещё какие большие проги заражены. Только другие антивирусы удалить.
-
-
Junior Member
- Вес репутации
- 62
Да я уже удалил свой аваст и поставил Касперского интернет секьюрити и сканю уже еще 3 часа скана... правда зараза ключик требует а поможет ли удаление?
-
Вы какую версию установили?есть пробные 30-ти дневные версии http://www.kaspersky.ru/trials
не забудьте удалить C:\Program Files\PremiumSoft\Navicat MySQL\navicat.exe.BAK.
-
-
Junior Member
- Вес репутации
- 62
Я поставил 7.0 - и пробник тоже=)
PavelA, фантастика, еще 12 троев ... у меня самого вопрос откуда?
Вроде все почистил... вроде нормально... логи:
Вложение 19751
Вложение 19752
Вложение 19753
Если что напишите я каратин вышлю, если надо....
Последний раз редактировалось LamBerT; 12.03.2010 в 22:49.
-
Пришлите zavet.mp3 ,он уже попал в карантин
Что из этого вам нужно?остальное пофиксим
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
-
Сообщение от
LamBerT
Я поставил 7.0 - и пробник тоже=)
PavelA, фантастика, еще 12 троев ... у меня самого вопрос откуда?
Сказали же: дроппер сидел. Работал в полную силу.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Карантин, как просили выслал...
071012_034636_virus_470f346c3b908.zip
А скажите, пож-та сейчас-то логи чистые?
P.S.
Хочу еще раз всем сказать Огромное Спасибо.