Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

букет троянов (заявка № 21422)

  1. #1
    Junior Member Репутация
    Регистрация
    12.04.2008
    Сообщений
    25
    Вес репутации
    59

    Thumbs up букет троянов

    Подхватил вчера, главный там вроде vedx6g.... выскакивают сообщения о восстановлении системы, есть несанкционированный трафик (zone alarm не видит), томозит комп.. Купил даже PrevxCSI, он что-то лечит, но после перезагрузки все вылезает снова. И диспетчер задач блокируется.
    Помогите пожалуйста.

    во время составления syscheck.zip комп выключается. и файл слишком большой 1,6 мб - в приложение не влезает.

    Вот файлы -
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      BC_DeleteSvc('taskmon.sys');
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\AEAudio.sys','');
      BC_DeleteSvc('FastUserSwitchingCompatibilitySwPrv');
     QuarantineFile('C:\WINDOWS\system32\actmoviet.exe','');
      BC_DeleteSvc('HTTPFilterMSDTC');
     QuarantineFile('C:\WINDOWS\system32\algj.exe','');
      BC_DeleteSvc('Netdf2cir');
     QuarantineFile('Netdf2cir.sys','');
      BC_DeleteSvc('TrkWksDnscache');
     QuarantineFile('C:\WINDOWS\system32\aaaamonk.exe','');
      BC_DeleteSvc('ShellHWDetectionwinmgmt');
     QuarantineFile('C:\WINDOWS\system32\12520437g.exe','');
      BC_DeleteSvc('lanmanserverMSIServer');
     QuarantineFile('C:\WINDOWS\system32\12520850x.exe','');
     QuarantineFile('c:\windows\system32\wind32.exe','');
     QuarantineFile('c:\docume~1\1\locals~1\temp\winlogon.exe','');
     QuarantineFile('c:\windows\system32\vedxg6ame4.exe','');
     QuarantineFile('c:\windows\system32\maxpaynow1.exe','');
     QuarantineFile('c:\windows\kavir.exe','');
     QuarantineFile('c:\windows\system32\dllgh8jkd1q7.exe','');
     QuarantineFile('c:\windows\system32\dllgh8jkd1q6.exe','');
     DeleteFile('c:\windows\system32\dllgh8jkd1q6.exe');
     DeleteFile('c:\windows\system32\dllgh8jkd1q7.exe');
     DeleteFile('c:\windows\kavir.exe');
     DeleteFile('c:\windows\system32\maxpaynow1.exe');
     DeleteFile('c:\docume~1\1\locals~1\temp\winlogon.exe');
     DeleteFile('c:\windows\system32\wind32.exe');
     DeleteFile('C:\WINDOWS\system32\12520850x.exe');
     DeleteFile('C:\WINDOWS\system32\12520437g.exe');
     DeleteFile('C:\WINDOWS\system32\aaaamonk.exe');
     DeleteFile('Netdf2cir.sys');
     DeleteFile('C:\WINDOWS\system32\algj.exe');
     DeleteFile('C:\WINDOWS\system32\actmoviet.exe');
     DeleteFile('C:\WINDOWS\system32\taskmon.sys');
     DeleteFile('C:\WINDOWS\mrofinu27.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ....

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Хороший набор

    access[1].htm_ - not-a-virus:Рorn-Dialer.Win32.GBDialer.j

    actmoviet.exe_ - Backdoor.Win32.IRCBot.clv

    dllgh8jkd1q6.exe_,dllgh8jkd1q7.exe_ - Trojan.Win32.Pakes.cqh

    kavir.exe_ - Email-Worm.Win32.Zhelatin.xh

    maxpaynow1.exe_ - Trojan-Downloader.Win32.Tibs.yj

    vedxg6ame4.exe_ - Packed.Win32.Tibs.im

    wind32.exe_ - Trojan-Downloader.Win32.Tibs.yh

    winlogon.exe_ - SpamTool.Win32.Agent.hn

  5. #4
    Junior Member Репутация
    Регистрация
    12.04.2008
    Сообщений
    25
    Вес репутации
    59
    вот попал.... доктор, пациент будет жить?
    скрипт выполнил. логи прилагаю.
    что делать дальше?
    Вложения Вложения

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Жить будет

    Пофиксить

    Код:
    O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
    O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\wind32.exe
    O4 - HKLM\..\Run: [SystemDrive] C:\WINDOWS\system32\maxpaynow1.exe
    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
    O4 - HKCU\..\Run: [kavir] C:\WINDOWS\kavir.exe

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\docume~1\1\locals~1\temp\winlogon.exe');
    TerminateProcessByName('c:\windows\system32\vedxg6ame4.exe');
    QuarantineFile('C:\WINDOWS\System32\drivers\Amk57.sys','');
    QuarantineFile('C:\WINDOWS\system32\1025x.exe','');
    DeleteService('Amk57');
    DeleteService('PlugPlaySwPrv');
    DeleteFile('c:\windows\system32\vedxg6ame4.exe');
    DeleteFile('C:\WINDOWS\system32\1025x.exe');
    DeleteFile('c:\docume~1\1\locals~1\temp\winlogon.exe');
    DeleteFile('C:\WINDOWS\System32\drivers\Amk57.sys');
    DeleteFile('C:\WINDOWS\kavir.exe');
    DeleteFile('C:\WINDOWS\mrofinu27.exe');
    DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
    DeleteFile('C:\WINDOWS\system32\wind32.exe');
    DeleteFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\6P89SBCD\access[1].htm');
    DeleteFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\6P89SBCD\access[2].htm');
    DeleteFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\O3QTIT89\access[1].htm');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Amk57 '); 
    BC_DeleteSvc('PlugPlaySwPrv '); 
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21422

    Повторите логи.Очистите временные Интернет папки.

  7. #6
    Junior Member Репутация
    Регистрация
    12.04.2008
    Сообщений
    25
    Вес репутации
    59
    все сделал, карантин отправил
    вот логи

    появилась новая проблема - как только подключаюсь к инету от меня начинается исходящий трафик "чего-то" и "кому-то" на максимальной скорости. это пройдет?
    Вложения Вложения

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пока лечим одно,загружается другое

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\System32\drivers\Ynd18.sys','');
    QuarantineFile('C:\WINDOWS\System32\drivers\Qtl03.sys','');
    QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
    DeleteService('Ynd18');
    DeleteService('Qtl03');    
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('C:\WINDOWS\System32\drivers\Qtl03.sys');
    DeleteFile('C:\WINDOWS\System32\drivers\Ynd18.sys');
    DeleteFile('WLCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Ynd18 ');
    BC_DeleteSvc('Qtl03 ');    
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21422

    Повторите логи.

    Добавлено через 24 минуты

    Карантин после скрипта из поста №5:

    1025x.exe_ - Backdoor.Win32.IRCBot.clv

    Amk57.sys - Trojan-Downloader.Win32.Agent.lxa

    winmn[1].exe_ - Trojan-Dropper.Win32.Small.bkn
    Последний раз редактировалось Гриша; 12.04.2008 в 15:55. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    12.04.2008
    Сообщений
    25
    Вес репутации
    59
    скрипт выполнил
    утечка "чего-то" по исходящему трафику сохраняется. Приходится отключаться и отправлять файлы с другого компа.

    вот логи.
    Вложения Вложения

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пофиксить
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('Wjh66');
    DeleteFile('C:\WINDOWS\System32\drivers\Wjh66.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Wjh66 ');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится,трафик должен нормализоваться.Повторите логи.

    Добавлено через 43 минуты

    Карантин:

    Ynd18.sys - Trojan-Downloader.Win32.Agent.lxa(удален)

    WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.iz(удален)
    Последний раз редактировалось Гриша; 12.04.2008 в 17:24. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    12.04.2008
    Сообщений
    25
    Вес репутации
    59
    пофиксил, перезагрузилось, увы проблема с уходящим трафиком осталась - утекает со страшной скоростью. ничего не дает делать в сети (на этот сайт хожу с ноутбука).

    логи повторил

    на всякий случай свежий карантин тоже отправляю.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\Installer\be4e30.msi','');
     QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB61}\ICON_SetupPPC.exe','');
     QuarantineFile('C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe','');
     QuarantineFile('C:\WINDOWS\system32\activedsh.exe','');
     QuarantineFile('C:\WINDOWS\system32\acleditu.exe','');
     QuarantineFile('C:\WINDOWS\system32\acluio.exe','');
     QuarantineFile('C:\WINDOWS\system32\3ivxVfWCodecc.exe','');
     QuarantineFile('C:\WINDOWS\system32\ahuip.exe','');
     QuarantineFile('C:\WINDOWS\system32\algk.exe','');
     QuarantineFile('C:\WINDOWS\system32\adsnwm.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  13. #12
    Junior Member Репутация
    Регистрация
    12.04.2008
    Сообщений
    25
    Вес репутации
    59
    скрипт выполнил. перезагрузился. сделал архив карантина и отправил.
    проблема с уходящим трафиком пока есть.

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    activedsh.exe,acleditu.exe,ahuip.exe,algk.exe,adsn wm.exe-Backdoor.Win32.IRCBot.clv

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('WmiApSrvFastUserSwitchingCompatibilitySwPrv');
    DeleteService('winmgmtbtwdins');
    DeleteService('WebClientSamSs');
    DeleteService('VSSDnscache');
    DeleteService('SamSsSwPrv');
    DeleteFile('C:\WINDOWS\system32\activedsh.exe');
    DeleteFile('C:\WINDOWS\system32\acleditu.exe');
    DeleteFile('C:\WINDOWS\system32\ahuip.exe');
    DeleteFile('C:\WINDOWS\system32\adsnwm.exe');
    DeleteFile('C:\WINDOWS\system32\algk.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('WmiApSrvFastUserSwitchingCompatibilitySwPrv ');
    BC_DeleteSvc('winmgmtbtwdins ');
    BC_DeleteSvc('WebClientSamSs ');
    BC_DeleteSvc('VSSDnscache ');
    BC_DeleteSvc('SamSsSwPrv ');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Вот этот файлик acluio.exe пришлите согласно приложению 2 правил.
    Логи повторите.

  15. #14
    Junior Member Репутация
    Регистрация
    12.04.2008
    Сообщений
    25
    Вес репутации
    59
    скрипт сделал, логи посылаю.

    файла acluio ни с каким расширением нет ни в папке sys32 ни в других папках на компе нет! я хорошо искал.
    Вложения Вложения

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\3ivxVfWCodecc.exe','');
    QuarantineFile('C:\WINDOWS\system32\acluio.exe','');
    DeleteService('W32TimeRSVP');
    DeleteService('VSSDnscache');
    DeleteFile('C:\WINDOWS\system32\acluio.exe');
    DeleteFile('C:\WINDOWS\system32\3ivxVfWCodecc.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('W32TimeRSVP ');
    BC_DeleteSvc('VSSDnscache ');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Если попадут в карантин пришлите по правилам.
    Логи повторите.

  17. #16
    Junior Member Репутация
    Регистрация
    12.04.2008
    Сообщений
    25
    Вес репутации
    59
    ура! есть прогресс - нет утечки по трафику, могу ходить в интернет.

    скрипт сделал. логи посылаю. в карантин что-то попало, так что тоже посылаю. победа близка? спасибо.
    Вложения Вложения

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В карантин они конечно же не попали,в логах чисто,жалобы есть?

  19. #18
    Junior Member Репутация
    Регистрация
    12.04.2008
    Сообщений
    25
    Вес репутации
    59
    жалоб нет! спасибо огромное Григорий и V_Bond!!!!! (смайлик бы вам с кружкой пива!)

    буду ставить хороший большой файервол. не порекомендуете?

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Выбирайте на свой вкус и цвет http://virusinfo.info/forumdisplay.php?f=40

    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Из платных Outpost из бесплатных Comodo ...

  • Уважаемый(ая) KellyM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Букет троянов
      От Fry.Day в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 11.08.2010, 21:38
    2. букет троянов
      От murr000 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.08.2009, 23:41
    3. Букет из троянов!
      От ghostil в разделе Помогите!
      Ответов: 29
      Последнее сообщение: 22.02.2009, 05:58
    4. букет троянов
      От art1k в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 04:49
    5. Мольба о помощи! Букет троянов и т. д.
      От aid_ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.06.2008, 13:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00734 seconds with 20 queries