Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Trojan-Proxy.Win32.Xorpix.ar (заявка № 13557)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    11
    Вес репутации
    38

    Thumbs up Trojan-Proxy.Win32.Xorpix.ar

    Дорогие специалисты - подскажите, пожалуйста.

    Касперский указывает на наличие Trojan-Proxy.Win32.Xorpix.ar (система WindowsXP) - но при этом говорит о нем "Не найдено". По запросу "Лечить" он притворяется, что кого-то уничтожает - но вирус всегда на месте - кажется, он пропадает в одном месте и тут же появляется в новом.
    Для начала он завесил комп: экран изредка взрагивал и обновлялся, на нажатия мыши не отвечал. Удалось реанимировать систему, загрузив через F8 и выбрав "последняя загрузка с работоспособными параметрами".
    На том же компьютере стоит альтернативная Win98.
    0) Касперский в 98х ставится не хочет - запускаю экзешник, скачанный из лаборатории, он распаковывает файлы во временную директорию и замолкает.
    1) Скачала Cureit! Прогнала из 98 и ИксПи - ничего не нашлось.
    2) Stop it! - не нашел ничего
    3) AVZ - конкретно вирусов не нашел при сканировании дисков. Про процессы какие-то все время пишет красным цветом - ничего не понятно.

    Есть ли какое-нибудь верное средство против этого Ксорпикса?
    Спасибо за внимание.

    файла virusinfo_syscure.zip у меня почему-то нет
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\regwiz.exe,
    O4 - HKLM\..\Run: [CertStoreInit] D:\WINDOWS\system32\CertStoreInit
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_QrFile('D:\WINDOWS\system32\lich.exe');
    BC_QrFile('D:\WINDOWS\system32\regwiz.exe');
    BC_QrFile('D:\WINDOWS\Temp\startdrv.exe');
    BC_DeleteSvc('lich');
    BC_DeleteFile('D:\WINDOWS\system32\lich.exe');
    BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин согласно приложению 3 правил.

    Попробуйте еще раз выполнить лог syscure (п.8 правил).
    Сделайте дополнительный лог: http://virusinfo.info/showthread.php?t=10387
    и новый лог HijackThis.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    11
    Вес репутации
    38
    Хайджеком профиксила.
    Скрипт в Зацеве выполнили.
    Сканирование с целью лечения и сбора данных провведено - cure появился.
    (Меня смущает только что Касперского я в это время не отключала - не сказано ведь, что его надо отключить?)
    Вложения Вложения
    Последний раз редактировалось Romeo4755; 26.10.2007 в 20:55.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    уберите карантин(virus.zip ) из темы .... загрузите по ссылке над темой
    выполните скрипт ....
    Код:
     
    begin
     BC_QrFile('d:\WINNT\Temp\startdrv.exe');
     BC_QrFile('d:\WINNT\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('d:\WINNT\Temp\startdrv.exe');
     BC_DeleteFile('d:\WINNT\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    11
    Вес репутации
    38
    >>уберите карантин(virus.zip ) из темы .... загрузите по ссылке над темой
    Сделала.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Каранин пришел - пустой, видимо KAV7 активно противодействует лечению/диагностике.

  8. #7
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    11
    Вес репутации
    38
    Вот я сделала новые логи.

    >> карантин пришел пустой

    Тогда я Касперского пока отключу и сделаю все по-новой?
    Касперский имеет свою пользу. У меня о нем такое мнение, что он противодействует вторжениям очень неплохо, а вот лечит фиговато. Это вот как раз без него трояны наловились, пока пробовала другой антивирус. Пока почти год Касперский всегда был включен, почти не было проблем с вирусами. И сейчас - он Крпикса поймать не может, но компьютер хотя бы не виснет (наверно, Касперский какие-то его деятельности пресекает).

    >>KAV7
    KIS7
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    при отключенном антивирусе выполните скрипт из поста 4 ... повторителоги...

  10. #9
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    11
    Вес репутации
    38
    При отключенном антивирусе выполнила скрипт в AVZ из поста 4,
    вот логи и после всего этого - запомнила на всякий случай карантин и снова присылаю.
    Как только включился Касперский - опять сообщает про присутствие Трояна.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в чудеса не хочется верить ....
    в SAFE MODE выполните скрипт из поста 4 ....

  12. #11
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    11
    Вес репутации
    38
    Сделала в Безопасном режиме - кажется, там больше подозрительных объектов попалось.
    Логи я тоже делала в безопасном режиме.
    Также запомнила карантин (если нужно, я приложу).
    Загружаюсь в обычном режиме - первым делом бежит навстречу Касперский и кричит "У вас объекты! Лечить?" (Как всегда при нажатии на Лечить, он гордо приносит к зубах Ксорпикс, предлагает его удалить, а при попытке удаления тут же его теряет и потом находит в другом месте - и так с ним можно до бесконечности заниматься.)
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\WINDOWS\system32\_svchost.exe');
    DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
    DeleteFile('D:\RECYCLER\S-1-5-21-839522115-838170752-682003330-1003\Dd72.exe');
    DeleteFile('D:\Documents and Settings\Olya\Local Settings\Temporary Internet Files\Content.IE5\TB3F51CE\msiesettings[1].exe');
    DeleteFile('D:\Documents and Settings\Olya\ie_update3r.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Очистите корзину и временные файлы IE.
    Обновите базы KIS и сделайте полную проверку компьютера.
    Сделайте новые логи в нормальном режиме.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    11
    Вес репутации
    38
    Ой. Я сейчас все сделаю, только я успела уничтожить KIS и поставить KAV (у меня стрим - а он с KIS, как мне показалось, очень плохо уживается: часто рвется соединение - особенно, когда сам KIS работает в интернете (обновляет базы и пр.) И на некоторые другие сайты заходишь - интернет-эксплорер выкидывает сообщение об ошибке и приходится все закрывать). Сейчас снова пыталась неделю пользоваться KIS, все то же самое по-новой, так что я его деинсталировала. Поставила пробный KAV.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Неважно, пусть будет KAV, главное чтобы базы были свежие.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    11
    Вес репутации
    38
    Скрипт выполнили (в нормальном режиме при выключенном Касперском).
    Корзину почистила. Временные файлы удалила с помощью Очистки диска.
    Проверка Касперским (базы сегодняшние) дала такие вот результаты (в основном он поймал Карантин AVZ , но и Xorpix, как всегда, присутствует ):
    * удалено: троянская программа Trojan-Downloader.JS.IESlice.c Файл: D:\Documents and Settings\Olya\Local Settings\Temporary Internet Files\Content.IE5\TB3F51CE\index[2].htm//Crypt.DCScript
    * удалено: троянская программа Rootkit.Win32.Agent.jp Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-26\avz00001.dta//PE_Patch
    * удалено: троянская программа Rootkit.Win32.Agent.jp Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-27\avz00001.dta//PE_Patch
    * удалено: троянская программа Trojan-Downloader.Win32.Tiny.nj Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-28\avz00001.dta
    * удалено: троянская программа Trojan-Downloader.Win32.Tiny.nj Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-28\avz00002.dta
    * удалено: троянская программа Trojan-Downloader.Win32.Tiny.nj Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-28\avz00003.dta
    * удалено: троянская программа Rootkit.Win32.Agent.jp Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-28\avz00004.dta//PE_Patch
    * удалено: троянская программа Trojan-Downloader.Win32.Tiny.nj Файл: D:\DOWNLOADS\avz4\AVZ4\Quarantine\2007-10-28\avz00005.dta
    * обнаружено: троянская программа Trojan-Proxy.Win32.Xorpix.ar Файл: D:\WINDOWS\system32\0007000.exe//#//UPack


    Логи сделала в нормальном режиме при выключенном Касперском. В карантине, кажется еще больше строчек.
    А не может влиять на ситуацию тот факт, что на той же машине стоит на диске C другая операционка? Может, сразу две надо проверить?
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите....
    Код:
    O2 - BHO: Flash Module - {C8A3B994-E27A-42f5-A053-C63799E621FB} - pidfenon.dll (file missing)
    повторите лог HijackThis

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    А не может влиять на ситуацию тот факт, что на той же машине стоит на диске C другая операционка?
    А это смотря какая операционка и чем вы в ней занимаетесь. Можно и оттуда логи глянуть. Но Xorpix'a в ней точно нет, ведь проверяли антивирусом весь компьютер.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    11
    Вес репутации
    38
    Фиксю (при выкл. Касперском в нормальном режиме). Перезагружаю. Выключаю Касперского. Делаю лог.
    Потом проверила Касперским критические области - все чисто кроме родного вот этого
    обнаружено: троянская программа Trojan-Proxy.Win32.Xorpix.ar Файл: D:\WINDOWS\system32\0007000.exe//#//UPack

    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    26.10.2007
    Сообщений
    11
    Вес репутации
    38
    Вторая операционка - WIN98 (в первом посте кратко упомянута). Там не установлена поддержка сети, используется для работы со старым сканером, у которого нету драйверов под XP.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\WINDOWS\system32\0007000.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Будет очень странно, если это не поможет...
    I am not young enough to know everything...

  • Уважаемый(ая) Romeo4755, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan-Proxy.Win32
      От tehnik34 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 21.08.2009, 12:43
    2. Win32/Trojan Proxy Small MU Trojan
      От cocosanka в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 17.04.2009, 05:48
    3. Ответов: 8
      Последнее сообщение: 22.02.2009, 05:38
    4. Trojan-proxy.win32.agent.net
      От web22 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.02.2009, 21:35
    5. Trojan-Proxy.Win32.Agent.uu
      От paps в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.12.2006, 09:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00674 seconds with 17 queries