Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

трояны и прочие (заявка № 18773)

  1. #1
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63

    Thumbs down трояны и прочие

    Добрый день!
    Помогите, пожалуйста, почистить комп:
    были жалобы на постоянное выключение медленную работу, не был установлен никакой антивирус вообще.
    после сканирования nod нашел 72 подозрительных файла
    что-то удалил, что-то я почистила вручную...
    некоторые файлы (windows\system32\spoolsv.exe windows\system32\taskmgr.exe windows\system32\dllcache\alg.exe windows\system32\dllcache\ctfmon.exe windows\system32\dllcache\taskmgr.exe) удалять не рискнула, так как вроде системные и лежат на своих местах.
    сделаны пока только логи AVZ (после чистки в безопасном режиме)
    до HiJackThis добраться не успела - может посмотрите пока что есть?
    заранее благодарю
    Последний раз редактировалось lemurz9; 08.10.2008 в 11:03.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\asycfil.dll','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
     QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\sрoоlsv.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Duf54.sys','');
     QuarantineFile('C:\WINDOWS\system32\winactived.bat','');
     DeleteFile('C:\WINDOWS\System32\drivers\Duf54.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\sрoоlsv.exe');
     DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\WINDOWS\system32\asycfil.dll');
     DeleteFile('C:\WINDOWS\system32\i386kd.exe');
     DeleteFile('C:\WINDOWS\system32\winactived.bat');
     BC_ImportAll;
     BC_DeleteSvc('protect');
     BC_DeleteSvc('Duf54');
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('DefLib');
     BC_DeleteSvc('ICF');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18773

    2. Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    В карантине пусто-ничего не попало.
    Правда часть подозрительных файлов я удалила сама сразу же после вчерашних логов.
    но вот этот "товарищ" C:\WINDOWS\System32\drivers\protect.sys точно был жив и здоров. почему не попадает в карантин-не знаю.
    при загрузке виндовса нод на него заругался - Спам-троян, но сделать ничего не смог
    в автозагрузке висел некий spoolsv.exe, после того как его отключила и перезагрузилась нод смог прибить protect.sys
    но...
    логи AVZ в обычном режиме не делаются - комп уходит на перезагрузку где-то в середине.
    посмотрите, пожалуйста, что получилось
    Последний раз редактировалось lemurz9; 08.10.2008 в 11:03.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Duf54');
     SetServiceStart('Duf54', 4);
     BC_DeleteSvc('Duf54');
     BC_DeleteSvc('protect');
     BC_DeleteSvc('FCI');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новый лог syscheck.
    Пришлите из карантина AVZ файл C:\WINDOWS\system32\asycfil.dll
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    файл C:\WINDOWS\system32\sрoоlsv.exe создается снова и снова (не считая оригинального от microsoft) и нод его ловит и так по кругу
    syscheck это скрипт номер 2 или 3?

  7. #6
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    вот лог
    Последний раз редактировалось lemurz9; 08.10.2008 в 11:03.

  8. #7
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    Файл сохранён как080228_054352_2008-02-28_47c69e780f5fc.zipРазмер файла82417MD5a1ac11a3e203e8741367b738b24ac9c1
    это сегодняшний карантин
    как из него прислать C:\WINDOWS\system32\asycfil.dll?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Duf54\0000', 'CSConfigFlags', '1');
     BC_QrFile('C:\WINDOWS\System32\drivers\Duf54.sys');
     BC_DeleteSvc('Duf54');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Duf54.sys');
     BC_DeleteFile('C:\WINDOWS\system32\asycfil.dll');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Приложите сюда файл boot_clr.log из папки с AVZ.

    Добавлено через 58 секунд

    P.S.: asycfil.dll - Trojan.Win32.Pakes.cdw
    Последний раз редактировалось Bratez; 28.02.2008 в 14:52. Причина: Добавлено
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    скрипт выполнился без ошибок, но после перезагрузки виндовс не смог запуститься ни в обычном, ни в безопасном режиме
    пришлось загрузить последнюю работоспособную конфигурацию
    файла boot_clr.log в папке AVZ нет
    может этот файлик asycfil.dll просто вручную удалить?
    он жив-себе-здоров пока, лежит в прежнем месте

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Этот удалите, конечно, он зловредный, только проблема не в нем.
    Если есть возможность загрузиться в консоль восстановления или LiveCD, надо найти и удалить C:\WINDOWS\System32\drivers\Duf54.sys.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    честно говоря я не знаю, что значит "загрузиться в консоль"
    загрузочного диска в виндовсом тоже под рукой нет
    как-то еще можно его удалить?
    и что он делает-то, этот вирус?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Давайте еще вот такой скрипт попробуем:
    Код:
    begin
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Duf54', 'Start');
     BC_QrFile('C:\WINDOWS\System32\drivers\Duf54.sys');
     BC_DeleteSvc('Duf54');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Duf54.sys');
     BC_DeleteFile('C:\WINDOWS\system32\asycfil.dll');
     BC_Activate;
     RebootWindows(true); 
    end.
    и новый лог syscheck.
    Если не поможет, придется применять тяжелую артиллерию
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    так.
    есть диск с виндовсом
    могу войти в консоль восстановления.
    но поскольку вижу ее первый раз, возникает совершенно глупый вопрос:
    что надо сделать, чтоб удалить там файл этот зловредный?
    там командная строка с\windows_
    что писать далее?
    (только не смейтесь, я правда не знаю...)
    сейчас попробую последний скрипт

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В консоли надо набрать такие команды:
    cd system32\drivers
    del Duf54.sys
    exit


    Добавлено через 35 секунд

    После каждой давить Enter.
    Последний раз редактировалось Bratez; 28.02.2008 в 15:52. Причина: Добавлено
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    после c\windows тоже enter или прямо продолжать писать?
    скрипт вогнал комп в ступор
    вот лог
    Последний раз редактировалось lemurz9; 08.10.2008 в 11:03.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    C:\WINDOWS\> в начале командной строки - это "приглашение", т.е. сразу вводите команду. Приглашение информирует о том, в каком каталоге мы сейчас находимся, т.е. после первой команды оно должно принять вид:
    C:\WINDOWS\system32\drivers\>

    Добавлено через 1 минуту

    Скрипт не помог, так что вся надежда на вас и консольные команды
    Последний раз редактировалось Bratez; 28.02.2008 в 16:03. Причина: Добавлено
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63
    спасибо
    информатика-то в институте была давно-о-о...
    завтра буду пробовать
    кстати, а тяжелая артиллерия это что? переустановка системы?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Нет, это IceSword или Rootkit Unhooker
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    08.02.2007
    Адрес
    Нижний Новгород
    Сообщений
    75
    Вес репутации
    63

    скачала на всякий случай и ту и другую...
    в readme к IceSword обнадеживающая надпись типа "люди должны использовать эту утилиту на свой страх и риск"
    Последний раз редактировалось lemurz9; 28.02.2008 в 16:44.

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в Rootkit Unhooker - нужно было написать что-то пострашнее ....

  • Уважаемый(ая) lemurz9, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. трояны
      От Gross в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 17.06.2010, 22:12
    2. Трояны
      От kba в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.11.2009, 21:22
    3. трояны
      От vanda в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.10.2009, 10:08
    4. Трояны
      От betsy в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2009, 03:10
    5. PSW трояны
      От user9 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.01.2008, 22:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00787 seconds with 19 queries