-
Junior Member
- Вес репутации
- 60
Троян не может удалить ни один антивир!!!
Троян инфицирует все запущенные проги,включаю антивируса.При попытки выйти на сайт производителей антивирусов,блокирует доступ! Периодически активируется в процессах и множит свои файлы по всей ОС.Прогонял антивирусы: Dr.Web CureIT! 4.44,KIS,AVZ,ClamAV - ничего не помогает! Частично что-то ловят,но он все равно остается в ОС.Для меня актуально вылечить сервера под управлением W2003 EE.Помогите разобраться! Еще о трояне,инфицирует проводник(explorer.exe) и создает искусственную загрузку CPU=100%.Могу выслать сами файлы-паразиты,которые он создает во временной папке documents and Settings\%User\Local Setting\Temp\ .
Последний раз редактировалось dragon772; 22.07.2008 в 15:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\drivers\fpinln.sys','');
QuarantineFile('e:\docume~1\tarkon~1.aut\locals~1\temp\winuufcpl.exe','');
QuarantineFile('e:\docume~1\tarkon~1.aut\locals~1\temp\winohbxap.exe','');
DeleteFile('e:\docume~1\tarkon~1.aut\locals~1\temp\winuufcpl.exe');
DeleteFile('e:\docume~1\tarkon~1.aut\locals~1\temp\winohbxap.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите то, что попадет в карантин по ссылке http://virusinfo.info/upload_virus.php?tid=22904
так, как написано в приложении 3 Правил.
При создании архива карантина отключите антивирус.
Сделайте новые логи и приложите их к вашей теме.
-
-
+ по поводу инфицирования программ, Вы уверены, что это файловый вирус? Под каким именем его определяет CureIt! и KIS ?
-
-
Сообщение от
dragon772
Могу выслать сами файлы-паразиты,которые он создает во временной папке documents and Settings\%User\Local Setting\Temp\
Пришлите эти файлы в zip архиве с паролем virus по выше указанной ссылке.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
AndreyKa
Пришлите эти файлы в zip архиве с паролем virus по выше указанной ссылке.
Файл выслал: Файл сохранён как 080515_035505_virus_482bfa697a865.zip .
Касперский на эти файлы не ругается.
Последний раз редактировалось dragon772; 15.05.2008 в 13:01.
Причина: Добавлено
-
А новые логи ? И еще пожалуйста ответ на вопрос из поста номер 3 по поводу имени зверя.
-
-
Junior Member
- Вес репутации
- 60
Dr.Web:инфицирован BackDoor.FireOn.origin и не может быть исцелен.
инфицирован Win32.Sector.5.
KISПроверенный файл: winypswb.exe - Инфицирован
winypswb.exe - инфицирован Backdoor.Win32.Agent.hox
После отключения файерволла начал активно размножатся.
Новые логи выложил
Последний раз редактировалось dragon772; 22.07.2008 в 15:51.
-
Пока не пришел карантин после скрипта от AndreyKa. Пришлите.
Потом очистите временные папки и кеш браузера.
Выполните пункт 1 отсюда: http://virusinfo.info/showthread.php?t=15927
Затем выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
QuarantineFile('E:\Documents and Settings\tarkon.AUTON\WINDOWS\system32\regsvr32.exe','');
QuarantineFile('E:\Documents and Settings\tarkon.AUTON\WINDOWS\System32\mswsock.dll','');
QuarantineFile('E:\PROGRA~1\Crawler\ctbr.dll','');
QuarantineFile('E:\Documents and Settings\tarkon.AUTON\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('E:\Documents and Settings\tarkon.AUTON\WINDOWS\system32\hal.dll','');
QuarantineFile('E:\Documents and Settings\tarkon.AUTON\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('E:\Documents and Settings\tarkon.AUTON\WINDOWS\system32\smss.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил.
P.S. winbpudb.exek, winvjbrp.exek - Virus.Win32.Sality.y,
winxyder.exek - Trojan-PSW.Win32.Stealer.n
winjyjme.exek - файл нулевой длины.
Меняйте пароли.
Последний раз редактировалось kps; 15.05.2008 в 15:39.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
kps
Пока не пришел карантин после скрипта от AndreyKa. Пришлите.
P.S. winbpudb.exek, winvjbrp.exek - Virus.Win32.Sality.y,
winxyder.exek - Trojan-PSW.Win32.Stealer.n
winjyjme.exek - файл нулевой длины.
Меняйте пароли.
Карантин выслал!!!
Можно чуть подробней,чем так страшны эти трояны?
И,сейчас,они снова атакуют,после очистки кэша и временных папок,активируются в процессах.
-
Sality - файловый вирус.
Другой - троян, вор паролей.
Пункт 1 вот отсюда http://virusinfo.info/showthread.php?t=15927 выполняли ?
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
kps
Да! Нашел матку вируса в корзине!
-
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
kps
И как, помогло лечение ?
После прогона Dr.Web CureIT! 4.44 с CD-R,все что найдено,было тут же уничтожено. AVZ ничего не нашел. Завтра,скажу,так как у этих троянов небольшой инкубационный период!
Спасибо,за то,что потратили на меня столько своего времени!
Последний раз редактировалось Shu_b; 15.05.2008 в 21:50.
-
Сообщение от
dragon772
После прогона Dr.Web CureIT! 4.44 с CD-R... {cut}
Несколько замечаний...
Ссылка в вашем сообщении неверная(удалена), правильная ссылка на CureIT - ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe (лучше загружать по ссылке на станичке http://www.freedrweb.com/cureit/ тогда версия всегда актуальной будет)
Во вторых по Вашим экземплярам сегодня скорректировано лечение данного вируса.
По этому загрузите актуальную верию, и проверьтесь ещё разок.. на всякий случай.
-
-
Junior Member
- Вес репутации
- 60
НЕ помогло!!!! Он появился опять из ниоткуда! И непонятно,откуда берется.
Опять во временной папки полного вирусов.
Ссылка была взята из данного форума:http://virusinfo.info/showthread.php?t=2672
А скорректировано где? В AVZ или Dr.Web CureIT ?
Закачал новый CureIT,посмотрим,что он найдет.
Последний раз редактировалось dragon772; 16.05.2008 в 11:08.
-
Сообщение от
dragon772
А скорректировано где? В AVZ или Dr.Web CureIT ?
В Dr.Web.
Скачайте свежую версию, и пролечите систему в безопасном режиме. При этом не запуская никаких приложений. Найденное лечить, незлечимое удалять.
Маленькое примечание. Курит не проверяет архивы и почтовые файлы. Если есть возможность, лучше лечить полноценным сканером.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Shu_b
В Dr.Web.
Скачайте свежую версию, и пролечите систему в безопасном режиме. При этом не запуская никаких приложений. Найденное лечить, незлечимое удалять.
Маленькое примечание. Курит не проверяет архивы и почтовые файлы. Если есть возможность, лучше лечить полноценным сканером.
Вирус-источник НЕ был найден! Не помогло!
-
Сообщение от
dragon772
[Опять во временной папки полного вирусов.
У Вас эта папка случай но не открыта для общего доступа? Может просто из вне по сети забрасывается?
-
-
Можете еще попробовать сделать полную проверку дисков самой свежей версией AVPTool.
Последний раз редактировалось kps; 16.05.2008 в 18:37.
Причина: Поправил ссылку
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Shu_b
У Вас эта папка случай но не открыта для общего доступа? Может просто из вне по сети забрасывается?
НЕТ.Папка не расшарена!
Добавлено через 15 минут
Сообщение от
kps
Можете еще попробовать сделать полную проверку дисков самой свежей версией
AVPTool.
Странно,ссылка,не активна.Есть зеркало?
Последний раз редактировалось dragon772; 16.05.2008 в 16:18.
Причина: Добавлено