Показано с 1 по 15 из 15.

Помогите их убить TR/Patched.O.2 и Keylogger.RP/20 (заявка № 16213)

  1. #1
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    11
    Вес репутации
    40

    Thumbs up Помогите их убить TR/Patched.O.2 и Keylogger.RP/20

    Здраствуйте, у меня стоит Avira Antivir Personal Edition Classic 7.0
    При загрузке он отлавливает TR/SPY KeyLogger.RP.20 в файле
    C:\windows\Temp\startdrv.exe, выбираю опцию удалить - пишет,что удаляет. После вычищаю из реестра, и автозагрузки все ссылки на него(понимаю, что наивен). Перезагружаюсь и .... опять здраствуйте- он на месте. Обновляю базы антивируса - появляются кроме этого еще два - TR/Patced.O.2 в C:\windows\system32\advapi32$$$ и
    TR/Pandex.L.2 в C:\windows\system32\drivers\smtpdrv.sys.
    Далее лезу на этот сайт скачиваю AVZ и HijackThis, но с друго компа т.к на больном в explorer больше одной странички не просматривает.
    Вообщем придерживаюсь инструкции и я так понял, что AVZ убил TR/Pandex.L.2, но не оставшиеся два, т.к. после перезагрузки опять лезут. Может я что-нибудь не так сделал. Заранее благодарен - жду помощи. (файлы высылаю)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\CertStoreInit','');
     QuarantineFile('C:\WINDOWS\system32\cpssp.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\aksup.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Bhl05.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Hnr04.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
      DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    
    end.
    компьютер перезагрузится.
    карантин пришлите по правилам.

    Профиксите

    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    Последний раз редактировалось wise-wistful; 10.01.2008 в 23:20.

  4. #3
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    11
    Вес репутации
    40
    Спасибо, карантин вышлю завтра (комп на работе) , только еще вопрос - отключать мне мой антивирус при создание карантина и профиксировании и если да то как лучше, ведь при включении -он грузится да к тому же вот это -'C:\WINDOWS\Temp\startdrv.exe' удаляет. Заранее благодарен

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    545
    Отключите

  6. #5
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    11
    Вес репутации
    40

    Cделал как написали

    Сделал все как написали, не помогает, при перезагрузке все по
    прежнему KeyLogger в Temp да еще обнаружился RKIT/Agent.DQ.31.A
    Вообщем вот :
    Begin scan in 'C:\WINDOWS\system32'
    C:\WINDOWS\system32\advapi32.$$$
    [DETECTION] Is the Trojan horse TR/Patched.O.2
    [INFO] The file was deleted!
    C:\WINDOWS\system32\drivers\Bhl05.sys
    [WARNING] The file could not be opened!
    C:\WINDOWS\system32\drivers\Hnr04.sys
    [WARNING] The file could not be opened!
    C:\WINDOWS\system32\drivers\ip6fw.sys
    [DETECTION] Contains signature of the rootkit RKIT/Agent.DQ.31.A
    [INFO] The file was deleted!
    Может заново все прогнать и опять выслать логи?
    Заранее спасибо

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    карантине ....
    C:\WINDOWS\system32\drivers\runtime2.sys Rootkit.Win32.Agent.jp
    C:\WINDOWS\system32\cpssp.dll чистый
    C:\WINDOWS\system32\drivers\aksup.sys чистый
    выполните скрипт ....
    Код:
    begin
     StopService('smtpdrv');
     StopService('Hnr04');
     StopService('Bhl05');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Bhl05.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Hnr04.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bhl05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Hnr04.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     BC_DeleteSvc('Bhl05');
     BC_DeleteSvc('Hnr04');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('runtime2');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    11
    Вес репутации
    40
    Вроде заработало сначала, тока пишет в AVZ про какую то подмену адреса, а так попробовал полазить в инете вроде работает (до этого больше одной страницы не показывал). А вот как попробовал зайти в msconfig мой антивирус ругнулся: C:\WINDOWS\system32\drivers\ip6fw.sys TR/Patched.O.2, что дальше заранее благодарен.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....

  10. #9
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    11
    Вес репутации
    40
    Карантин выслал

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    файл прошел в авз по базе безопасных ... значит чистый ...
    больше не вижу ничего зловредного ... остались какие-то проблемы ?

  12. #11
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    11
    Вес репутации
    40
    Цитата Сообщение от V_Bond Посмотреть сообщение
    файл прошел в авз по базе безопасных ... значит чистый ...
    больше не вижу ничего зловредного ... остались какие-то проблемы ?

    Сначала вроде бы нормально, но когда перезагружаюсь и выполняю
    Пуск -> Выполнить и пишу mscohfig тут же мой антивир ловит

    Virus or unwanted program 'TR/Patched.O.2 [TR/Patched.O.2]'
    detected in file 'C:\WINDOWS\system32\advapi32.$$$.
    Action performed: Delete file

    Я понимаю, что Вас замучал, огромное Вам спасибо - давайте может добъем зверя.
    ...еще раз заранее благодарен.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    я так понимаю у авиры алергия на криптопро .... пришлите файлик на который ругается аннтивирус ...

  14. #13
    Junior Member Репутация
    Регистрация
    09.01.2008
    Сообщений
    11
    Вес репутации
    40

    Файл выслаю

    Цитата Сообщение от V_Bond Посмотреть сообщение
    я так понимаю у авиры алергия на криптопро .... пришлите файлик на который ругается аннтивирус ...
    Если необходимо есть еще такой же файл библиотеки advapi32.dll, но на него пока антивир не ругался. Спасибо.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    вирлаб прислал овет - файл чистый ....

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,302
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 5
    • Обработано файлов: 44
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\bhl05.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112)
      2. c:\\windows\\system32\\drivers\\hnr04.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.39204)
      3. c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.jp (DrWEB: Trojan.NtRootKit.422)


  • Уважаемый(ая) Saigon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите вирус Trojan.Patched.HE
      От Latks в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.11.2011, 23:30
    2. Помогите KeyLogger
      От Petrovich031 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.10.2010, 11:46
    3. Помогите удалить LdPinch и Keylogger
      От DevilSpark в разделе Помогите!
      Ответов: 31
      Последнее сообщение: 27.07.2010, 10:59
    4. Ответов: 10
      Последнее сообщение: 14.05.2009, 10:00
    5. Помогите win32/patched.ae
      От Slovensio в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 24.03.2009, 19:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01514 seconds with 17 queries