Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Троян (заявка № 18014)

  1. #1
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    36

    Question Троян

    Через ИЕ зашёл на какой-то сайт (сейчс не хочу смотреть историю на какой) , видимо на автомате скачался вирус. Сначала заметил незнакомый екзе на рабочем столе (ieupd2.exe) , потом стала лезть мишура : на рабочий стол поставилась обоина с ссылкой на какойто сайт (само сообщение на рабочем столе вроде "На вашем компьютере найден вирус , перейдите по ссылке чтобы просканировать его") , и справа внизу (я ламер , трей что ли называется)) появляются рандомные сообщения с почти тем же содержанием и ссылкой (адрес сайта antispywareupdate.net). Не даёт восстановить или открыть процессы средствами Винды. Панель управления вроде полностью рабочая.

    Делаю логи по инструкции , в случае с пунктом 8 получается то что я приложил , с пунктом 10 - вообще ничего в папке LOG.
    Вложения Вложения
    Последний раз редактировалось XBocT; 13.02.2008 в 22:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Нужны логи AVZ (Вы прикрепили карантин) - они основные.

  4. #3
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    36
    Эм , проблема с вирусом перешла в проблему с логами AVZ...

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Попробуйте выполнить в АВЗ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
      QuarantineFile('C:\WINDOWS\SYSTEM32\LogCrypt.dll','');
      QuarantineFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe','');
      QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
      QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
      QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
      DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
      DeleteFile('C:\WINDOWS\system32\i386kd.exe');
      DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
      DeleteFile('C:\WINDOWS\system32\winlagons.exe');
     BC_DeleteSvc('FCI');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению 3 правил по ссылке http://virusinfo.info/upload_virus.php?tid=18014
    Профиксите
    Код:
    F2 - REG:system.ini: Shell=explorer.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,C:\WINDOWS\system32\rxjddnvj.exe,
    O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file)
    O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file)
    O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)
    O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
    O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file)
    O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)
    O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)
    O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
    O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
    O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
    O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)
    O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)
    O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)
    O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
    O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
    O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
    O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)
    O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file)
    O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
    O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)
    O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
    O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

    Удалите ConnectionServices - это адваре.
    Попробуйте выполнить все логи.
    Последний раз редактировалось wise-wistful; 14.02.2008 в 01:43.

  6. #5
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    36
    Скрипт выполнил , папку ConnectionServices удалил , необходимые строки в хиджаке пофиксил. Логи по стандартным скриптам 2 - не делается , 3 - создаётся папка virusinfo_cure.zip , её выслал.

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Сделайте ещё раз hijackthis.log

    Добавлено через 1 минуту

    АВЗ переименовывать пробывали?
    Последний раз редактировалось wise-wistful; 14.02.2008 в 15:52. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    36
    Переименовывал. Лог Хиджака скидывать как прикрепление или в отправлять?

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Приктирипите здесь. Посылать по ссылке вверху страницы только карантин.

  10. #9
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    36
    Лог хиджака.
    Вложения Вложения

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Почти все на месте. Попробуем такой скрипт в АВЗ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
      QuarantineFile('C:\WINDOWS\SYSTEM32\LogCrypt.dll','');
      QuarantineFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe','');
      QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
      QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
      QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
     DeleteFile('c:\windows\system32\wmedia32.exe');
     BC_DeleteFile('c:\windows\system32\wmedia32.exe');
      DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
      DeleteFile('C:\WINDOWS\system32\i386kd.exe');
      DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
      DeleteFile('C:\WINDOWS\system32\winlagons.exe');
      BC_DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
      BC_DeleteFile('C:\WINDOWS\system32\i386kd.exe');
      BC_DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
      BC_DeleteFile('C:\WINDOWS\system32\winlagons.exe');
    BC_DeleteSvc('partnershipreg');
    BC_DeleteSvc('Google Online Search Service');
    BC_DeleteSvc('FCI');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Профиксите
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\rxjddnvj.exe,
    O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
    Поищите при помощи АВЗ Сервис--поиск файлов на диске TjEnder.exe и LogCrypt.dll пришлите по правилам

    АВЗ в защищённом режиме работает?

  12. #11
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    36
    Как включить защищённый режим?

    Судя по всему скрипт не выполнился - где то на половине комп перезагрузился.
    LogCrypt.dll (лежал в system32) отправил , TjEnder.exe не нашёл.
    Последний раз редактировалось XBocT; 14.02.2008 в 17:31.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Как включить защищённый режим?
    При загрузке нажимать F8 - выбрать Safe mode

    Добавлено через 32 секунды

    Скрипт тоже попробуйте в безопасном режиме выполнить...
    Последний раз редактировалось rubin; 14.02.2008 в 18:29. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    36
    Скрипт в безопасном режиме выдал [invalid data for '']. Срипты для логов также не работают.
    Эмм , тяжёлый случай?

    Апд : Вирус перестал подавать признаки работы. winlagons.exe пропал из процессов. Исчезли сообщения об необходимости сканирования. Обои на столе не меняются. Осталось сообщение в експлорере при переходе от папки к папке.
    Последний раз редактировалось XBocT; 14.02.2008 в 19:17.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Код:
    begin
      QuarantineFile('C:\WINDOWS\SYSTEM32\LogCrypt.dll','');
      QuarantineFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe','');
      QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
      QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
      QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
     DeleteFile('c:\windows\system32\wmedia32.exe');
     BC_DeleteFile('c:\windows\system32\wmedia32.exe');
      DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
      DeleteFile('C:\WINDOWS\system32\i386kd.exe');
      DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
      DeleteFile('C:\WINDOWS\system32\winlagons.exe');
      BC_DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
      BC_DeleteFile('C:\WINDOWS\system32\i386kd.exe');
      BC_DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
      BC_DeleteFile('C:\WINDOWS\system32\winlagons.exe');
    BC_DeleteSvc('partnershipreg');
    BC_DeleteSvc('Google Online Search Service');
    BC_DeleteSvc('FCI');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    А так в безопасном режиме?

  16. #15
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    36
    rxjddnvj.exe пропал из system32

    АПД: Последний скрипт в безопасном выдал ту же ошибку. Последняя запись в протоколе - Удаление каких-то остаточных файлов.
    Ещё АПД: Пофиксились строки из постов 4 и 10 , которые раньше сами восстанавливались.

    Добавлено через 40 минут

    Появился пароль на пользователе 1122.
    Последний раз редактировалось XBocT; 14.02.2008 в 20:05. Причина: Добавлено

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Повторите лог посмотрим, что осталось
    Microsoft Most Valuable Professional in Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    36
    Лог хиджака
    Вложения Вложения

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Попробуйте создать логи в AVZ (если получаться)
    Microsoft Most Valuable Professional in Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    27
    Вес репутации
    36
    Логи из АВЗ не получаются (в безопасном тоже).

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Давайте так
    http://virusinfo.info/showpost.php?p=80604&postcount=2

    С помощью хиджака попытайтесь удалить службы
    Google Online Search Service
    FCI


    Добавлено через 10 минут

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system32\mmmoxnox.dll ');
     BC_QrFile('C:\WINDOWS\system32\winlagons.exe');
     BC_QrFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     BC_QrFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     BC_DeleteFile('C:\WINDOWS\system32\mmmoxnox.dll');
     BC_DeleteFile('C:\WINDOWS\system32\winlagons.exe');
     BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     BC_QrSvc('FCI');
     BC_QrSvc('Google Online Search Service');
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('Google Online Search Service');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18014

    Добавлено через 2 минуты

    Повторите логи (может даже AVZ запуститься)
    Выполните перед созданием логов
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     ExecuteRepair(12);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Последний раз редактировалось akoK; 14.02.2008 в 20:40. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  • Уважаемый(ая) XBocT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan.Win32.Ddox.ci и троян "троян маячок"
      От eugenmax в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.08.2011, 13:06
    2. троян
      От Софья в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 22.02.2011, 11:16
    3. Троян
      От Irishnn в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.06.2010, 13:05
    4. Ответов: 6
      Последнее сообщение: 28.02.2009, 16:27
    5. Ответов: 2
      Последнее сообщение: 31.01.2008, 09:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01133 seconds with 17 queries