Показано с 1 по 15 из 15.

Подозрение на троян (заявка № 18506)

  1. #1
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    16
    Вес репутации
    59

    Thumbs up Подозрение на троян

    Добрый день, точнее вечер
    Только успел избавиться с вашей помощью от заразы на рабочем компе, так сразу на домашнем ноутбуке похожая ситуация, как только захожу в нет, комп начинает че то качать с нета, даже в том случае если я вообще ничего не открываю Скорость после этого приближается к нулю . Высылаю все логи, согласно правил.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    StopService('Xfl74');
    SetServiceStart('Xfl74', 4);
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
     QuarantineFile('C:\Documents and Settings\Juikov\Local Settings\Temp\loader.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Xfl74.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Xfl74.sys');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
     DeleteFile('C:\Documents and Settings\Juikov\Local Settings\Temp\loader.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('runtime2');
    BC_DeleteSvc('Xfl74');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=18506).
    Обновите базы AVZ и сделайте новые логи.

    Добавлено через 1 минуту

    P.S. При выполнении скрипта и создании логов антивирус выключайте.
    Последний раз редактировалось Bratez; 23.02.2008 в 03:32. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    16
    Вес репутации
    59

    Подозрение на троян

    Огромное спасибо за помощь. Карантин отправил, высылаю новые логи.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Уже лучше, но еще не все.
    Код:
    begin
     SearchRootkit(false, true);
     ClearQuarantine;
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Xfl74', 'Start');
     BC_QrFile('C:\WINDOWS\System32\drivers\Xfl74.sys');
     BC_DeleteSvc('Xfl74');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Xfl74.sys');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
     BC_Activate;
    DelWinlogonNotifyByKeyname( 'WLCtrl32');
     RebootWindows(true); 
    end.
    После перезагрузки сделайте новый лог syscheck (п.10 правил).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    16
    Вес репутации
    59
    Скрипт запустил. Высылаю новый лог syscheck.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Упрямый он однако. Выполните такой скрипт:
    Код:
    begin
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Xfl74\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Xfl74.sys');
     BC_DeleteSvc('Xfl74');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Xfl74.sys');
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
     BC_Activate;
     RebootWindows(true);
    end.
    и снова лог syscheck.

    Если этот не поможет, будем дихлофосом травить

    Имеется небольшая вероятность, что после скрипта система не сможет запуститься. В таком случае в загрузочном меню через F8 выберите "Последняя удачная конфигурация".

    P.S. У вас некорректная системная дата:
    Сканирование запущено в 06.01.2000 3:41:28
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    16
    Вес репутации
    59
    Обновил syschech, высылаю. Бежать за дихлофосом?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    обошлись без дихлофоса .... что хотели удалили ...
    D:\ - это что CD ?
    hijackthis.log - сделайте ...

  10. #9
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    16
    Вес репутации
    59
    Да не, D: это логический диск на винтеЮ просто я туда скопировал весь загрузочный диск с виндой, поэтому он отображается как CD.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('D:\AutoRun.exe','');
     QuarantineFile('D:\autorun.inf','');
    BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  12. #11
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    16
    Вес репутации
    59
    Карантин скинул.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Чисто...

  14. #13
    Junior Member Репутация
    Регистрация
    07.02.2008
    Сообщений
    16
    Вес репутации
    59
    Yes!!! Меня вылечили. Спасибо за помощь.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\juikov\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.djq (DrWEB: BackDoor.Bulknet.67)
      2. c:\\windows\\system32\\drivers\\ip6fw.sys - Trojan-Downloader.Win32.Diehard.dr (DrWEB: Trojan.NtRootKit.497)
      3. c:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.pq (DrWEB: Trojan.NtRootKit.496)
      4. c:\\windows\\system32\\wlctrl32.dll - Trojan.Win32.Small.agv (DrWEB: BackDoor.Bulknet.157)


  • Уважаемый(ая) Brodsky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на WM троян
      От -=DeS=- в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.05.2010, 10:43
    2. Подозрение на троян.
      От qokyon в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.04.2010, 00:57
    3. Подозрение на троян
      От psyinfo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 05.12.2009, 12:20
    4. Подозрение на троян Подозрение на Trojan.Win32.Pakes.lis
      От Валентин_K в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2009, 15:37
    5. Подозрение на троян.
      От plexter в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.11.2008, 21:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00366 seconds with 18 queries