Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

BACKDOOR.TROJAN (заявка № 22392)

  1. #1
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    10
    Вес репутации
    59

    Thumbs up BACKDOOR.TROJAN

    Здравствуйте!!!
    Win2K
    Spydernt.log:
    Local Settings\TEMP\много *.exe c BACKDOOR.TROJAN
    Tempopary Internet Files\temp\bho[1].exe - программа-AdWare Adware.Bho

    В безопасном режиме-синий экран .
    AVZ не запустить/появляется-исчезает/,
    после перезагрузки AVZ.EXE удаляется.
    Dweb как бы блокирован /лог-есть, управление недоступно/.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Скачать это переименованный IceSword.

    Отключите восстановление системы (если еще не отключено) и очистите кеш интернета.
    Запустите IceSword (hockey.pif), зайдите слева в меню "Processes"
    Выберите:

    Код:
    C:\WINNT\TEMP\918A.tmp
    C:\WINNT\system32\uchm472.exe
    C:\WINNT\system32\uchm469.exe
    C:\DOCUME~1\gss\LOCALS~1\Temp\w12602b8.exe
    Нажмите по каждому из этих процессов правой кнопкой мыши и выберите "Terminate Process".

    Потом внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем эти файлы+эти

    Код:
    C:\WINNT\system32\actcontroller.exe 
    C:\DOCUME~1\gss\LOCALS~1\Temp\winlogon.exe
    C:\Documents and Settings\gss\ie_updates3r.exe
    и удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):

    И еще посмотрите если ли там такие файлы:

    Код:
    windows\system32\drivers\srosa.sys
    windows\system32\drivers\hldrrr.exe
    windows\system32\wintems.exe
    windows\system32\mdelk.exe
    windows\system32\drivers\mdelk.exe
    Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Зайдите в меню Startup. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
    Три лога запакуйте в один архив и прикрепите архив.

    Скачайте AVZ заного переименуйте в 123.com и попробуйте сделать логи.
    Последний раз редактировалось Гриша; 03.05.2008 в 16:32.

  4. #3
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    10
    Вес репутации
    59
    логи
    Последний раз редактировалось Alex_Goodwin; 04.05.2008 в 01:45.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    1. Отключите восстановление системы.
    2. Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
     TerminateProcessByName('c:\winnt\temp\2544.tmp'); 
     TerminateProcessByName('c:\docume~1\gss\locals~1\temp\w16ac590.exe');
     QuarantineFile('c:\winnt\temp\2544.tmp','');
     QuarantineFile('c:\docume~1\gss\locals~1\temp\w16ac590.exe','');
     QuarantineFile('C:\WINNT\system32\crypts.dll','');
     QuarantineFile('C:\DOCUME~1\gss\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\Documents and Settings\gss\ie_updates3r.exe','');
     QuarantineFile('C:\WINNT\system32\drivers\fhnkni.sys','');
     QuarantineFile('C:\WINNT\system32\actcontroller.exe','');
     QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe','');
     QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
     QuarantineFile('kdjkx.exe','');
     QuarantineFile('crypts.dll','');
     QuarantineFile('C:\WINNT\system32\nwiz.exe','');
     QuarantineFile('C:\WINNT\system32\uchm427.exe','');
     QuarantineFile('C:\Documents and Settings\Default User.WINNT\Local Settings\Temporary Internet Files\Content.IE5\L4HF7EX7\alexey[1].exe','');
     DeleteFile('c:\winnt\temp\2544.tmp');
     DeleteFile('c:\docume~1\gss\locals~1\temp\w16ac590.exe');
     DeleteFile('C:\DOCUME~1\gss\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\Documents and Settings\gss\ie_updates3r.exe');
     DeleteFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe');
     DeleteFile('C:\WINNT\system32\crypts.dll');
     DeleteFile('crypts.dll');
     DeleteFile('kdjkx.exe');
     DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
     DeleteFile('C:\Documents and Settings\Default User.WINNT\Local Settings\Temporary Internet Files\Content.IE5\L4HF7EX7\alexey[1].exe');
     DeleteFile('C:\WINNT\system32\uchm427.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22392

    3. Повторите логи .
    Последний раз редактировалось Синауридзе Александр; 03.05.2008 в 19:42.

  6. #5
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    10
    Вес репутации
    59
    Spidernt.log: system32\drivers\grande48.sys-Trojan.Sentinel.
    Последний раз редактировалось Alex_Goodwin; 04.05.2008 в 01:45.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      BC_DeleteSvc('Wdl24');
     QuarantineFile('Wdl24.sys','');
      BC_DeleteSvc('protect');
     QuarantineFile('C:\WINNT\System32\drivers\protect.sys','');
      BC_DeleteSvc('grande48');
     QuarantineFile('C:\WINNT\system32\drivers\grande48.sys','');
     QuarantineFile('C:\WINNT\system32\drivers\fhnkni.sys','');
     QuarantineFile('c:\docume~1\gss\locals~1\temp\web5ee0.exe','');
     DeleteFile('c:\docume~1\gss\locals~1\temp\web5ee0.exe');
     DeleteFile('C:\WINNT\system32\drivers\grande48.sys');
     DeleteFile('C:\WINNT\System32\drivers\protect.sys');
     DeleteFile('Wdl24.sys');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    10
    Вес репутации
    59
    На логи исчерпал лимит, должен был выслать подтверждение, но на mail.ru захожу-сообщения не открыть. EXE-шники в system32 плодятся /uchm***/
    Беда, короче.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Подчистил логи. Выкладывайте новые.

  10. #9
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    10
    Вес репутации
    59
    логи
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    web5ee0.exe- Trojan-PSW.Win32.Stealer.l

    Пофиксить

    Код:
    O20 - Winlogon Notify: crypt - C:\WINNT\
    Это ваш провайдер

    Код:
    UkrTeleGroup Ltd.
    Mechnikova 58/5
    65029 Odessa
    Ukraine
    Если нет,пофиксить

    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A0B74AAF-97E1-4F37-A710-4D96123D56EF}: NameServer = 85.255.113.110,85.255.112.104
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.104
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.104
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.104
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\docume~1\gss\locals~1\temp\w748a38.exe');
    DeleteFile('c:\docume~1\gss\locals~1\temp\w748a38.exe');
    QuarantineFile('C:\WINNT\system32\drivers\fhnkni.sys','');
    BC_ImportALL;
    ExecuteSysClean;
    BC_QrSvc('dpti930 ');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22392

    Повторите логи.

  12. #11
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    10
    Вес репутации
    59
    Если можно удалите старые логи.
    Dweb не запускается,не удаляется.
    В Mail.ru сообщения или не открыть или пусто.

    Логи
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    fhnkni.sys - поищите при помощи авз и пришлите согласно правилам

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    586
    Скачайте кюрит на чистом ПК, запишите на CD и запустите проверку своей зараженной системы прямо с CD.
    anti-malware.ru

  15. #14
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    10
    Вес репутации
    59
    Диск лечил CureIT-ом на чистом компе. Нашел очень много всего.
    Из проблем остался синий экран при загрузке в безопасном режиме , у меня
    W2K Pro RUS, может быть есть скрипт на эту тему.
    Высылаю логи, спасибо.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    какие-то проблемы остались ?

  17. #16
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    10
    Вес репутации
    59
    Режим заработал,ура!!!.
    Если можно, поставьте диагноз по последним логам, в карантин попал SBCMAUT.exe.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    SBCMAUT.EXE вы его присылали ? я не вижу ...

  19. #18
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    10
    Вес репутации
    59
    Отправил

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    файл чистый ...

  21. #20
    Junior Member Репутация
    Регистрация
    03.05.2008
    Сообщений
    10
    Вес репутации
    59
    Тему закрываем.
    Всем большущее СПАСИБО!!!!!!
    И С ДНЕМ ПОБЕДЫ !!!!!!

  • Уважаемый(ая) golodush, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 28.07.2012, 20:08
    2. Ответов: 2
      Последнее сообщение: 02.10.2010, 19:37
    3. Ответов: 10
      Последнее сообщение: 31.12.2009, 01:36
    4. BackDoor.Tdss, Trojan.Starter, Trojan.Packed, и Trojan.FakeAlert
      От Stewart little в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.04.2009, 13:05
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00827 seconds with 20 queries