Показано с 1 по 20 из 20.

Подцепил трояна(ов) из Интернета, svchost, LogCrypt, actcontroller, ip6fw. Не могу избавится. (заявка № 18258)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39

    Thumbs up Подцепил трояна(ов) из Интернета, svchost, LogCrypt, actcontroller, ip6fw. Не могу избавится.

    Сначала с какого-то момента во время просмотра сайтов заметил, что трафик стал улетать очень быстро. Потом после следующего включения компа, он напрочь отказывался перегружаться и уходил в ребут, или выдавал синий экран смерти. Загрузиться удавалось только в безопасном режиме. В безопасном режиме проверил NOD32 тот обнаружил что файл svchost.exe видимо заражен вирусом. Также проверил AVZ - тот тоже нашел несколько зараженных файлов (ip6fw.dll например) Удаление его в общем никаких результатов не принесло и я переустановил винду поверх старой, без форматирования диска C:\
    Компьютер стал загружаться, но трафик по прежнему жрется очень сильно. Также в system32\drivers есть файл ip6fw.dll на который в первый раз ругался AVZ, но на этот раз не ругается. Проверил CureIT-ом, тот нашел несколько троянов. Его лог и остальные (AVZ, HIJACK) прилагаю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Xqb33\0000', 'CSConfigFlags', '1');
     BC_DeleteSvc('Xqb33');
     BC_Activate;
     RebootWindows(true);
    end.
    Потом ещё один
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys');  
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    Ок, но ответить смогу только завтра, поскольку комп домашний.

  5. #4
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    Скрипты выполнил, логи прилагаю.
    Последний раз редактировалось Shu_b; 20.02.2008 в 14:14.

  6. #5
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    и как логи?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ....
    Код:
    O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
    повторите ...
    hijackthis.log

  8. #7
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    Строку пофиксил, вроде исчезла.
    CureIt в безопасном режиме вирусов не нашел.
    Логи прилагаю.

    Вот еще кое-что подозрительное:

    1.
    В папке c:\windows\ есть файлы типа
    3184958.exe_
    3399616.exe_
    с числовыми названиями и расширением exe_
    на которые CureIt в прошлый раз ругался как на инфицированные трояном. Счас правда не ругается.

    2.
    В службах висит подозрительная служба - FCI
    правда я ее отключил
    Исполняемй файл: C:\WINDOWS\system32\svchost.exe:ext.exe
    Что это за служба и как ее снести?

    3.
    В Просмотре событий есть подозрительные строки (раньше их не было)

    а.Источник: NMIndexingService
    Не найдено описание для события с кодом ( 0 ) в источнике ( NMIndexingService ).
    Возможно, на локальном компьютере нет нужных данных в реестре
    или файлов DLL сообщений для отображения сообщений удаленного компьютера.
    Попробуйте использовать ключ /AUXSOURCE= для получения этого описания,
    - дополнительные сведения об этом содержатся в справке.
    В записи события содержится следующая информация: Service started.

    б.Источник: redbook
    Это устройство не поддерживает воспроизведение оцифрованного звука.

    в.sfsync02
    Не найдено описание для события с кодом ( 12 ) в источнике ( sfsync02 ).
    Возможно, на локальном компьютере нет нужных данных в реестре
    или файлов DLL сообщений для отображения сообщений удаленного компьютера.
    Попробуйте использовать ключ /AUXSOURCE= для получения этого описания,
    - дополнительные сведения об этом содержатся в справке.
    В записи события содержится следующая информация: .

    г.sfsync04
    Не найдено описание для события с кодом ( 1 ) в источнике ( sfsync04 ).
    Возможно, на локальном компьютере нет нужных данных в реестре
    или файлов DLL сообщений для отображения сообщений удаленного компьютера.
    Попробуйте использовать ключ /AUXSOURCE= для получения этого описания,
    - дополнительные сведения об этом содержатся в справке.
    В записи события содержится следующая информация: .

  9. #8
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    Вот собственно лог HIJACK-а

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Обновите базы AVZ и повторите сканирование (лог syscure).
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    а что за зверей то я нахватал. можно узнать?
    что именно они делают - высылают куда-нибудь пароли или портят данные и почему трафик входящий резко вырос?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    а что за зверей то я нахватал. можно узнать?
    А Вы карантин не прислали... мы и не знаем

  13. #12
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    а вот и он
    пардон, приходится отвечать с запозданием, т.к. зараженный комп домашний, а с него в сеть пока не выхожу. только с работы.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    в логах чисто ...
    карантин вы так и не прислали ...

  15. #14
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    а карантин - это virusinfo_cure.zip или что?

    Добавлено через 7 минут

    а, понял.
    ок, пришлю сегодня
    Последний раз редактировалось marvak; 22.02.2008 в 10:15. Причина: Добавлено

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    уберите зверей из темы .... их нужно отсылать по ссылке над темой ...

  17. #16
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    зверей из темы убрал, карантин закачал по ссылке.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    WLCtrl32.dll - Email-Worm.Win32.Agent.e

  19. #18
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    понятно. ну а система то сейчас чистая?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    Цитата Сообщение от V_Bond Посмотреть сообщение
    в логах чисто ...
    ...
    ...

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\wlctrl32.dll - Email-Worm.Win32.Agent.e (DrWEB: Trojan.DownLoader.47421)


  • Уважаемый(ая) marvak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. избавится от трояна
      От stk18 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 05:44
    2. Не могу избавится от трояна
      От toha19841 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.02.2009, 09:51
    3. избавится от трояна v2
      От stk18 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.06.2008, 16:38
    4. Помогите избавится от трояна
      От Alex62 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.02.2008, 15:00
    5. Не могу избавится от трояна!
      От alf186 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 02.09.2007, 05:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01485 seconds with 16 queries