Показано с 1 по 11 из 11.

Комп подхватил трояна (заявка № 13795)

  1. #1
    Junior Member Репутация
    Регистрация
    11.07.2007
    Сообщений
    60
    Вес репутации
    62

    Exclamation Комп подхватил трояна

    Здравствуйте!
    Комп по всей видимости подхватил несколько троянов. McAfee их находит, но удалить не может. А Windows заявляет, что некоторые системные файлы заменены и просит диск чтобы обновить их.
    Прилагаю файлы согласно правилам раздела.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
     BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
     BC_DeleteSvc('runtime');
     BC_DeleteSvc('runtime2');
     BC_DeleteSvc('Ip6Fw');
     BC_Activate;
     RebootWindows(true);
    end.
    после перезагрузки еще один...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\wupdsvc5.exe','');
     QuarantineFile('C:\WINDOWS\system32\idaw64.exe','');
     QuarantineFile('C:\WINDOWS\FONTS\94DFD.com','');
     QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
     QuarantineFile('protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\vhosts.exe','');
     QuarantineFile('c:\docume~1\nevaeva\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\docume~1\nevaeva\locals~1\temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\vhosts.exe');
     DeleteFile('protect.sys');
     DeleteFile('\SystemRoot\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\idaw64.exe');
     DeleteFile('C:\WINDOWS\system32\wupdsvc5.exe');
     BC_DeleteSvc('msupdate');
     BC_DeleteSvc('FCI');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил..
    повторите логи...
    Последний раз редактировалось V_Bond; 02.11.2007 в 10:42.

  4. #3
    Junior Member Репутация
    Регистрация
    11.07.2007
    Сообщений
    60
    Вес репутации
    62
    при попытке выполнить второй скрипт выходит ошибка

    Too many actual parameters в позиции 12:12

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    поправил ...

  6. #5
    Junior Member Репутация
    Регистрация
    11.07.2007
    Сообщений
    60
    Вес репутации
    62
    Карантин отправил. Прилагаю логи.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Trojan-Downloader.Win32.BHO.bm, Rootkit.Win32.Agent.jj, Trojan-Proxy.Win32.Ranky.gg
    плюс новый Trojan.Win32.Agent.cmg попали в карантин
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [TempCom] C:\WINDOWS\FONTS\94DFD.com
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
    QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
    DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
    DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Карантин пришлите по правилам.
    Сделайте новые логи.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    11.07.2007
    Сообщений
    60
    Вес репутации
    62
    Посылаю карантин. Посылаю логи.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах чисто.... если проблем нет ,то лечение можно считать завершенным...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В карантине - Trojan.Win32.Obfuscated.kf

    Логи чистые. Рекомендуется отключить все ненужное из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    I am not young enough to know everything...

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 22
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\nevaeva\\local settings\\temp\\winlogon.exe - Trojan.Win32.Agent.cmg (DrWEB: Trojan.Packed.147)
      2. c:\\docume~1\\nevaeva\\locals~1\\temp\\winlogon.ex e - Trojan.Win32.Agent.cmg (DrWEB: Trojan.Packed.147)
      3. c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429)
      4. c:\\windows\\system32\\svchost.exe:ext.exe - Trojan.Win32.Obfuscated.kf (DrWEB: Trojan.Inject.492)
      5. c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Obfuscated.kf (DrWEB: Trojan.Inject.492)
      6. c:\\windows\\system32\\vhosts.exe - Trojan-Proxy.Win32.Ranky.gg (DrWEB: Trojan.MulDrop.8347)
      7. c:\\windows\\system32\\wupdsvc5.exe - Trojan-Downloader.Win32.BHO.bm (DrWEB: Trojan.MulDrop.9502)


  • Уважаемый(ая) Reanimator, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. подхватил трояна Win32/Vundo.OD
      От Алексей Грохотов в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.12.2011, 20:46
    2. Помогите, подхватил трояна
      От NRGize в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 28.08.2010, 12:37
    3. Похоже подхватил трояна.
      От Fedyy в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.10.2009, 21:38
    4. Комп подхватил Win32.Sality
      От helpmeplease в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.07.2008, 11:19
    5. Сайт ФХР подхватил трояна?
      От ISO в разделе Вредоносные программы
      Ответов: 4
      Последнее сообщение: 21.01.2008, 20:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00763 seconds with 19 queries