Показано с 1 по 15 из 15.

Sanitardisk и куча троянов (заявка № 16839)

  1. #1
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    8
    Вес репутации
    39

    Thumbs up Sanitardisk и куча троянов

    Из трея стали вылезать сообщения анонимной программы типа "У вас на компьютере обнаружены файлы, которые надо срочно удалить", или "видео", или "диск заполнен и нуждается в очистке"; клик на сообщение привел к запуску страницы, предлагающей скачать и инсталлировать программу Sanitardisk. Я ничего скачивать не стала. Но при работе с поисковиками в интернете вместо перехода на найденные Яндексом или Гуглом страницы стали вылезать совсем другие страницы - мелькает search-daily.com, потом грузится что-то совсем левое, каждый раз разное. Правда, если несколько раз запускать ссылку из Яндекса, то она все-таки открывается. Так вот нашелся и ваш форум!
    На компе стоит WinXP SP2, антивирус Grisoft AVG, обновляется.
    Стерла куки, Temporary Internet Files, часть подозрительных файлов в системе, создавшихся сегодня... но не помогло... сообщения все равно вылезают.
    Очень надеюсь на вашу помощь! Сделала, как написано в правилах... логи прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      StopService('oqxnqejs');
     QuarantineFile('C:\WINDOWS\system32\atl7.dll','');
     QuarantineFile('C:\Program Files\AOL Security Toolbar\AOL_security_toolbar.dll','');
     QuarantineFile('C:\Documents and Settings\Tatiana\11483454.dll','');
     QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL','');
     QuarantineFile('wins32a.exe','');
     QuarantineFile('qjovfjaqyqte.exe','');
     QuarantineFile('ielower.exe','');
     QuarantineFile('C:\WINDOWS\winsys.exe','');
     QuarantineFile('C:\WINDOWS\System32\PreAnntt.exe','');
     QuarantineFile('C:\WINDOWS\RUNDLL16.EXE','');
     QuarantineFile('C:\WINDOWS\System32\lzx32.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ngdzewip.dat','');
     DeleteFile('C:\WINDOWS\system32\Drivers\ngdzewip.dat');
     DeleteFile('C:\WINDOWS\System32\lzx32.sys');
     DeleteFile('C:\WINDOWS\RUNDLL16.EXE');
     DeleteFile('C:\WINDOWS\winsys.exe');
     DeleteFile('qjovfjaqyqte.exe');
     DeleteFile('wins32a.exe');
     DeleteFile('C:\Documents and Settings\Tatiana\11483454.dll');
      DelBHO('{14D1A72D-8705-11D8-B120-0040F46CB696}');
      BC_DeleteSvc('oqxnqejs');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  4. #3
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    8
    Вес репутации
    39
    Спасибо за быстрый ответ! Высылаю карантин: почему-то его содержимое разделено на вчерашнее и сегодняшнее, вчерашнее в архиве virus2.zip, не знаю, нужно или нет... AVZ занес в карантин кусок от когда-то стоявшего на компьютере антивируса AOL ActiveVirus, вряд ли он вирусный, его, может, лучше не убивать, вдруг когда-нибудь оживет его поддержка, я хотела бы иметь возможность снова его поставить...

  5. #4
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    8
    Вес репутации
    39
    Карантин дошел ли?
    -----
    Не в тему: и почему-то ваш форум радостно мне сообщает, что я вне форума :0
    Последний раз редактировалось Tatiana PP; 23.01.2008 в 13:28.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    В карантине:
    atl7.dll - Trojan-Downloader.Win32.Delf.ech
    ngdzewip.dat - Rootkit.Win32.Agent.ux

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
    O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
    O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
    O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Tatiana\11483454.dll (file missing)
    O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
    O4 - HKLM\..\Run: [Dir Tilecom] qjovfjaqyqte.exe
    O4 - HKLM\..\Run: [IeLower] ielower.exe
    O4 - HKLM\..\Run: [secure socket layer] wins32a.exe
    O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\RUNDLL16.EXE
    O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
    O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
    O4 - HKLM\..\RunServices: [Dir Tilecom] qjovfjaqyqte.exe
    O4 - HKLM\..\RunServices: [IeLower] ielower.exe
    O4 - HKLM\..\RunServices: [secure socket layer] wins32a.exe
    O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
    O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\winsys.exe
    O4 - Startup: MSWin-667851396.exe
    O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRYYYYYYYYRU
    O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\atl7.dll');
     DelBHO('{CC237610-FFE0-42C0-982D-C18AEDB3A4F9}');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    8
    Вес репутации
    39
    Сделала, как написали... Вот логи!
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Одну строчку в фиксах пропустили:
    Код:
    O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
    И вот это вряд ли вы сами прописали, тоже пофиксите:
    Код:
    O15 - Trusted Zone: www.archiviosex.net
    O15 - Trusted Zone: www.contentdiscount.info
    O15 - Trusted Zone: www.extremeaccess.info
    Добавлено через 2 минуты

    В AVZ запустите Мастер поиска и устранения проблем, выполните поиск в категории Системные проблемы и исправьте Нарушение ассоциации REG файлов.

    Посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    Последний раз редактировалось Bratez; 23.01.2008 в 15:13. Причина: Добавлено
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    8
    Вес репутации
    39
    Пофиксила указанное!
    "Мастер проблем" сообщил, что Нарушение ассоциации REG файлов исправил успешно.
    Из служб, наверное, лучше оставить "Автозапуск c CD ROM", а прочие - я не знаю - есть ли какие-то, которые необходимы для корректной работы домовой сети? - если они не обязательны, то отключите!

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Вот скрипт для отключения ненужного:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    8
    Вес репутации
    39
    Спасибо! Запустила!
    И теперь мой компьютер чистый? Я могу теперь работать?
    Можно ли уже включить возможность восстановления системы?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Да, теперь все в порядке, восстановление включить можно.
    На всякий случай сделайте еще раз логи, начиная с п.10 правил.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    8
    Вес репутации
    39
    Вот логи!
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Все чисто.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    22.01.2008
    Сообщений
    8
    Вес репутации
    39
    Ура! Спасибо, спасибо, тысяча благодарностей!!!!!!!!!!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,302
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\atl7.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.44922)
      2. c:\\windows\\system32\\drivers\\ngdzewip.dat - Rootkit.Win32.Agent.aap (DrWEB: Trojan.NtRootKit.73


  • Уважаемый(ая) Tatiana PP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Куча троянов
      От tehnik34 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.03.2012, 12:08
    2. куча троянов
      От mclaren_fan в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.04.2009, 11:40
    3. Sanitardisk и Run Time error
      От Igornew в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    4. Помогите пофиксить Sanitardisk
      От Alex-ok в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.04.2008, 20:24
    5. Куча троянов
      От Ataur в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.01.2008, 02:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01352 seconds with 17 queries