Показано с 1 по 13 из 13.

После лечения windows security center сообщает о заражении (заявка № 19196)

  1. #1
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39

    Thumbs up После лечения windows security center сообщает о заражении

    Вчера секретарша посадила трояна из интернета.
    Предположительно с сайта atomakayan.biz, в кэше прокси остались 3 exe, причем один из них находится в windows/system32, антивирусы на них не реагируют.
    Провел лечение при помощи AVZ, несколько тороянов было удалено, но все равно выходят сообщения от windows security report о том, что система заражена win32.Banker.FR, Trojan.SpyAgent.DA
    Последний раз редактировалось KonstS; 07.06.2010 в 15:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\~util32.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Adtool2.dll','');
     QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\ie6.tmp','');
     QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll','');
     DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll');
     DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\ie6.tmp');
     DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\Adtool2.dll');
     DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\~util32.dll');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
    O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll
    Загрузите карантин согласно приложению №3 правил.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll[/CODE]
    Этого не оказалось, наверное, уже удалил.
    AVZ находит еще что-то.
    Последний раз редактировалось KonstS; 07.06.2010 в 15:16.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: HelloWorldBHO - {02A60A63-4C18-4D14-A95F-28F57E533296} - C:\WINDOWS\System32\drivers\Adtool2.dll (file missing)
    O2 - BHO: DirectPluginX Class - {37FF719A-A736-4FAB-8CBF-7B905277648D} - C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\~util32.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(false, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Qgbx46', 'Start');
     BC_QrFile('C:\WINDOWS\System32\drivers\Qgbx46.sys');
     BC_DeleteSvc('Qgbx46');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Qgbx46.sys');
     BC_Activate;
     ExecuteRepair(11);
     ExecuteRepair(17);
     RebootWindows(true); 
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    Сделайте новый лог syscheck.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39
    Похоже, что теперь все чисто.
    Последний раз редактировалось KonstS; 07.06.2010 в 15:16.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    на всякий случай C:\WINDOWS\system32\userinit.exe - пришлите согласно приложения 3 правил ...

  8. #7
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39
    Цитата Сообщение от V_Bond Посмотреть сообщение
    на всякий случай C:\WINDOWS\system32\userinit.exe - пришлите согласно приложения 3 правил ...
    Высылаю.
    Я сегодня отослал несколько файлов (в т.ч. и его) на drweb, пришло сообщение: "Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу. Вирус: Trojan.MulDrop.6474."
    Так что антивирусам он уже известен.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Пуск - Выполнить:
    Введите комадну: sfc /scannow
    Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.

    Повторите лог virusinfo_syscheck.zip

  10. #9
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Пуск - Выполнить:
    Введите комадну: sfc /scannow
    Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.

    Повторите лог virusinfo_syscheck.zip
    Сделано

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Где лог?

  12. #11
    Junior Member Репутация
    Регистрация
    17.07.2007
    Адрес
    Марий Эл
    Сообщений
    68
    Вес репутации
    39
    Цитата Сообщение от Maxim Посмотреть сообщение
    Где лог?
    С утра не проснулся еще
    Исправляюсь.
    Последний раз редактировалось KonstS; 07.06.2010 в 15:16.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    В логах всё нормально.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\cekpet~1\\locals~1\\temp\\ie6.tmp - Trojan-Downloader.Win32.Mutant.c (DrWEB: Trojan.MulDrop.11897)
      2. c:\\docume~1\\cekpet~1\\locals~1\\temp\\~util32.dl l - not-a-virus:AdWare.Win32.Agent.ahn (DrWEB: Trojan.Click.17381)
      3. c:\\docume~1\\cekpet~1\\locals~1\\temp\\wndutl32.d ll - Hoax.Win32.Renos.ays (DrWEB: Trojan.Fakealert.447)
      4. c:\\windows\\system32\\drivers\\adtool2.dll - Trojan-Downloader.Win32.BHO.de (DrWEB: Trojan.DownLoader.55674)
      5. \\userinit.exe - Worm.Win32.Gadja.f (DrWEB: Trojan.DownLoader.49226)


  • Уважаемый(ая) KonstS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Windows Security Center
      От Daewoo_Lanos в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 17.08.2010, 10:16
    2. Ответов: 24
      Последнее сообщение: 22.02.2010, 23:49
    3. Windows Security Center!
      От alucardss в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.07.2009, 07:48
    4. Псевдо Windows Security Center
      От Sergey SS в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 09:02
    5. Windows Security center универсальный скрипт
      От El_Puzo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.10.2008, 14:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00254 seconds with 16 queries