Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Началось всё с Trojan.Win32.BHO.yr (заявка № 14411)

  1. #1
    Junior Member Репутация
    Регистрация
    21.11.2007
    Сообщений
    21
    Вес репутации
    37

    Thumbs up Началось всё с Trojan.Win32.BHO.yr

    Касперский 7.0 обнаруживает Trojan.Win32.BHO.yr,но удалить его не может.Компьютер время от времени зависает,бывает гаснет монитор или просто застывает изображение,не всегда ребутается с первого раза.Сделал всё по праилам, cureit нашла 5 троянов включая сабж и 1 хакерскую прогаммку и удалила их,в отличие от моего антивира,после чего проверил AVZ,здесь уже ничего не удалялось,было подозрение на троян,я вручную удалил файл благо он был не системным с помощью KillBox,и думал всё уже нормально.Но комп снова завис после пары часов нормальной работы,хотелось бы узнать виноваты в этом вирусы или нет,логи прикрепляю

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите
    Код:
    O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll (file missing)
    O2 - BHO: (no name) - {F6BE95D0-F936-45FD-8121-E4B21225927D} - C:\WINDOWS\system32\amstrea.dll (file missing)
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Beleg\LOCALS~1\Temp\winlogon.exe
    O4 - HKLM\..\Policies\Explorer\Run: [7H28X9M91L] C:\WINDOWS\winlogon32.exe
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O20 - Winlogon Notify: atixdaxx - C:\WINDOWS\SYSTEM32\atixdaxx.dll
    выполните скрипт....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
     QuarantineFile('C:\Program Files\Common Files\SystemErrorFixer\strpmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\winmds.exe','');
     QuarantineFile('C:\WINDOWS\system32\45qD42IK.exe','');
     QuarantineFile('C:\WINDOWS\system32\amstrea.dll','');
     QuarantineFile('C:\WINDOWS\WebAssist.dll','');
     QuarantineFile('atixdaxx.dll','');
     QuarantineFile('C:\WINDOWS\winlogon32.exe','');
     QuarantineFile('C:\Documents and Settings\Beleg\Рабочий стол\install_en.exe','');
     QuarantineFile('C:\DOCUME~1\Beleg\LOCALS~1\Temp\winlogon.exe','');
     DeleteFile('C:\DOCUME~1\Beleg\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\winlogon32.exe');
     DeleteFile('atixdaxx.dll');
     DeleteFile('C:\WINDOWS\WebAssist.dll');
     DeleteFile('C:\WINDOWS\system32\amstrea.dll');
     DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    очистите задания в планировщике ... думаю они не ваши...
    пришлите карантин согласно приложения 3 правил...
    повторите логи...
    Последний раз редактировалось V_Bond; 21.11.2007 в 16:57.

  4. #3
    Junior Member Репутация
    Регистрация
    21.11.2007
    Сообщений
    21
    Вес репутации
    37
    Подскажите пожалуйста где найти этот планировщик,чтобы очистить в нём задания...пофиксил,скрипт выполнил,новые логи прикрепляю,карантин выслал.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пуск- панель управления - назначенные задания .....

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Альтернативный путь: AVZ - сервис - Менеджер планировщика заданий. Выбирай на свой вкус.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    21.11.2007
    Сообщений
    21
    Вес репутации
    37
    Сделал спасибо)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите...
    Код:
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    выполните скрипт (обязательно с отключенным антивирусом) ....
    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
     QuarantineFile('C:\WINDOWS\system32\45qD42IK.exe','');
     QuarantineFile('C:\WINDOWS\system32\winmds.exe','');
     QuarantineFile('C:\Documents and Settings\Beleg\Рабочий стол\install_en.exe','');
     QuarantineFile('C:\Program Files\Common Files\SystemErrorFixer\strpmon.exe','');
     DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
     DelCLSID('DF780F87-FF2B-4DF8-92D0-73DB16A1543A');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил....

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\SystemErrorFixer\strpmon.exe" dm=http://systemerrorfixer.com; ad=http://systemerrorfixer.com
    O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\Documents and Settings\Beleg\Рабочий стол\install_en.exe"
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    21.11.2007
    Сообщений
    21
    Вес репутации
    37
    Карантин выслал и пофиксил.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Опять нужен комплект логов.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в карантине пусто ....

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Последний карантин пустой, только ini-файлы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    21.11.2007
    Сообщений
    21
    Вес репутации
    37
    Больше в нём ничего не было.Вот свежие логи.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах чисто ...
    осталось разобраться с потенциальными уязвимостями....
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule ()
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  16. #15
    Junior Member Репутация
    Регистрация
    21.11.2007
    Сообщений
    21
    Вес репутации
    37
    Пк домашний

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    локальная сеть паличиствует ?

  18. #17
    Junior Member Репутация
    Регистрация
    21.11.2007
    Сообщений
    21
    Вес репутации
    37
    Есть локальная сеть+выделенный интернет от провайдера

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    тогда так ...
    выполните скрипт....
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  20. #19
    Junior Member Репутация
    Регистрация
    21.11.2007
    Сообщений
    21
    Вес репутации
    37
    Сделал

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    если проблем больше нет ... то лечение можно считать завершенным ...

  • Уважаемый(ая) Beleg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 18.07.2010, 00:09
    2. Ответов: 1
      Последнее сообщение: 30.06.2009, 07:47
    3. Ответов: 27
      Последнее сообщение: 19.05.2009, 17:37
    4. Все началось с ovrscn.sys - Win32/Haxdoor
      От PedroDon в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 04:49
    5. Началось с криптопакера[Packed.Win32.PolyCrypt.b]
      От sunic в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 11.11.2008, 17:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00018 seconds with 16 queries