Показано с 1 по 7 из 7.

вирус пробрался в системные сервисы (заявка № 17231)

  1. #1
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    16
    Вес репутации
    37

    Exclamation вирус пробрался в системные сервисы

    Помогите пожалуйста!
    Схватил и я такой троян, имя которому: TR/Crypt.XPACK.Gen. Симптомы те же как и описаны в теле форума: http://virusinfo.info/showthread.php?t=15517Т.е. после загрузки через какое-то время Avira AntiVir определяет его, постоянно меняя численные значения имени (так как предыдущие мы удаляли антивирусом), но все так же в Temp образовывает exe-файл.
    Только, порой выскачит такое сообщение при удалении антивирусом сразу следом "Generic Host Process for Win32 Services - обнаружена ошибка" или "IEXPLORE.EXE- обнаружена ошибка".
    Далее бился с обновлениями антивира, все не скачивалось, рвалось соединение, затем поменял на другой Dr. Web. Провел диагностику, все как у вас написано!
    Какие только не находил антивирус вирусы и BackDoor.Bulknet.134 и Trojan.NtRootKit.360 и Trojan.DownLoader.39204 - эти вирусы найдены в последний раз и так как не удалось вылечить были удалены! А до этого антивирус Dr. Web находило и Trojan.Runas и Trojan.Click.4756 и VBS.Generic.558 и Trojan.DownLoader.43004 и BackDoor.Bulknet.122, 127, 128. Но вот в последний раз они не определилсь, значит Dr. Web c ними справился! Один раз Dr. Web маякнул про зараженность системного файла svchost.sys, пробовал вылечить не удалось, удалился и после этого пришлось восстанавливать систему, восстановил через CD, все старые настройки восстановились!
    До последней диагностики постоянно антивирус Dr. Web выдавал сообщение о вирусе Trojan.DownLoader.39204, допустим когда выхожу из интернета, нажимаю вылечить, вылечивает и сразу сообщение "Generic Host Process for Win32 Services - обнаружена ошибка". Видимо в системные сервисы вирусы пробрались!
    Пожалуйста, помогите, очиститься от этих вирусов, так как до этого три года и знать не знал про них, а тут бац и началось! Эх, интернет. интернет, ведь про приемники читал на каком-то сайте и понеслось... А так до этого всегда одними и теми же проверенными сайтами пользовался, а тут сунулся почитать и нарвался!
    Жду от Вас помощи!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {33331111-1131-1111-1111-611111193428} -
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('c:\windows\system32\vhosts.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\PIC.DLL','');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('c:\windows\system32\vhosts.exe');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
    BC_ImportALL;
    BC_DeleteSvc('msupdate');
    BC_DeleteSvc('smtpdrv');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=17231).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    16
    Вес репутации
    37

    LOG после выполнения скрипта

    Все так как написали сделал! Единственное когда просите карантиновый файл поставил галочки и архивировал там где занчится слово Карантин, а нижние три не внес в архив (те что с раширением .dta - скопированные в МП (причина карантина)). Или их тоже надо было в архив внести (то есть поставить галочки везде справа)?
    Вот новые log.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Карантин пришлите весь.

    Посмотрите, нужно ли вам что-либо из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Лишнее отключим.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    16
    Вес репутации
    37

    полный карантин от AVZ загрузил

    Добрый день!
    Полный карантин от AVZ загрузил сегодня! Файл таков: 080201_094418_virus_47a33e524fd63.zipРазмер файла147469MD5e83228243596f829e57ba482b568f53c
    Насчет лишнее отключим, честно не знаю нужны или не тнужны все вами перечисленные действия (файлы)! Понятно что от анонимного наверное доступ явно не нужен,а вот остальные не так хорошо знаю и оценить степень нужности мне трудно!
    Посоветуйте пожалуйста дальнейшие действия!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Понятно что от анонимного наверное доступ явно не нужен,а вот остальные не так хорошо знаю
    Явно не нужно как раз все остальное. Анонимный доступ нужен, если у вас есть локалка с использованием общего доступа к файлам и принтерам. В этом случае уберите из скрипта первую строчку после begin.
    Вот скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    (автозапуск CD оставил).

    В логах больше ничего подозрительного.
    Какие-то проблемы остались?
    I am not young enough to know everything...

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\svchost.exe - Trojan-PSW.Win32.LdPinch.flv (DrWEB: Trojan.Inject.672)
      2. c:\\windows\\system32\\vhosts.exe - Backdoor.Win32.Kbot.bl (DrWEB: BackDoor.Dax)


  • Уважаемый(ая) Игорь Т., наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. На флешку пробрался вирус Win32.HLLW.Napad (заявка №49722)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 24.01.2011, 00:00
    2. Вирус переводит системные часы
      От TYP в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.07.2009, 16:43
    3. вирус отключил сервисы
      От froxy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 13.02.2009, 15:47
    4. Ответов: 3
      Последнее сообщение: 01.08.2008, 13:28
    5. Пробрался вирус
      От inf в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.06.2008, 14:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00280 seconds with 17 queries