Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 53.

Win32.Backdoor.Agent + Win32.TrojanSpy.Peed (заявка № 22998)

  1. #1
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    30
    Вес репутации
    58

    Question Win32.Backdoor.Agent + Win32.TrojanSpy.Peed

    Добрый день.

    Необходима срочная помощь. Комп заражен этими двуми вирусами. ДрВэб и AVZ его не обнаруживают никаким образом, хотя у обоих свежие базы. Обнаруживает их только Ad-Aware, но удалить не может, даже при перезагрузке.
    Указывает, что вирусы расположены в папке C:\WINDOWS\system32\wsnpoem\
    В проводнике эта папка не видна (показывать скрытые - включено), попасть в нее можно только если ввести полный путь в строку. В папке три файла: audio.dll, audio.dll.cla, video.dll. Удалить их не получается даже с помощью программ типа Unlocker и KillBox.
    audio.dll.cla удаляется свободно
    В автозагрузке три левые записи: ntuser.dat, ntuser.dat.log, ntuser.ini. Отключить их не удается - пишет, что надо быть администратором. Раньше их никогда не было
    Проявляется вред от вирусов в заражении всех моих сайтов, хотя пароль к фтп я нигде не храню.
    Помощь нужна срочная, потому что завтра уезжаю в отпуск и сайты останутся зараженными и будут распространять заразу.
    Прикладываю логи:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\svchost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки закачайте карантин по правилам и повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    30
    Вес репутации
    58
    Новые логи
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах проблем не нашел. Уже можете установить СП3, удалить не нужные защитные программы типа Ad-Aware, использувать Файрфокс/Оперу вместо Аванта...
    Если мешают остатки Симантека можете ещё скрипт прогнать
    Код:
    begin
     StopService('SNDSrvc');
     DeleteService('SNDSrvc');
     SetServiceStart('SNDSrvc', 4);
     DeleteFile('C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe');
    RebootWindows(true);
    end.
    и потом ещё раз syscheck-лог повторить.

  6. #5
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    30
    Вес репутации
    58
    Спасибо большое. Теперь вируса нет.
    СП3 уже скачал, сейчас поставлю. Насчет Файрфокса уже давно решился, но нет времени, вернусь из отпуска - сразу поменяю.
    А почему Ad-Aware Вы назвали ненужной программой? Ведь только с ее помощью я и обнаружил вирус.

    И еще.
    В автозагрузке до сих пор не получается сделать изменения и убрать лишние записи

    >>В автозагрузке три левые записи: ntuser.dat, ntuser.dat.log, ntuser.ini. Отключить их не удается - пишет, что надо быть >>администратором. Раньше их никогда не было
    Последний раз редактировалось MAzZY; 17.05.2008 в 17:54. Причина: Дополнение

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от MAzZY Посмотреть сообщение
    А почему Ad-Aware Вы назвали ненужной программой?Ведь только с ее помощью я и обнаружил вирус
    это случайно ...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от V_Bond Посмотреть сообщение
    это случайно ...
    Собсно говоря - я эту программу не люблю. То, что она вообще чего-то кроме tracing cookie находит - это действительно случайно . Кроме того - программа запускает собственную службу. Каждая службя - это минимум один дополнительно открытый порт....Ну оставьте, если привыкли
    В автозагрузке три левые записи: ntuser.dat, ntuser.dat.log, ntuser.ini.
    Где именно в автозагрузке? По Хайджеку не видно ничего такого в автозагрузке.

  9. #8
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    30
    Вес репутации
    58
    При запуске команды msconfig. Заблокированы любые изменения
    Прикладываю скриншот
    Изображения Изображения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от MAzZY Посмотреть сообщение
    При запуске команды msconfig. Заблокированы любые изменения
    Прикладываю скриншот
    Честно говоря - не знаю . У меня такого точно нет. Попробую вынести топик на консииум. Загляните через пару дней или даже раньше, если что-то подозрительное заметите.

  11. #10
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    30
    Вес репутации
    58
    В регистре эти записи находятся только в одном месте. Больше их нигде нет. Удаление не помогает.
    Сильно не беспокоит. Особых симптомов пока не наблюдаю. Поэтому спокойно поеду в отпуск
    Еще раз большое спасибо за столь оперативную помощь.
    Прикладываю скриншот.
    Изображения Изображения
    • Тип файла: jpg reg.JPG (89.4 Кб, 19 просмотров)

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от MAzZY Посмотреть сообщение
    При запуске команды msconfig. Заблокированы любые изменения
    Прикладываю скриншот
    так как на скриншоте и должно быть ... для начала внесите изменения

  13. #12
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    30
    Вес репутации
    58
    Не понял. Почему так должно быть?
    Я не могу внести изменения никакие - мне отказывает в доступе.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от MAzZY Посмотреть сообщение
    Не понял. Почему так должно быть?
    Я не могу внести изменения никакие - мне отказывает в доступе.
    т.е вы убираете галку от праграммы которую хотите убрать и....
    что пишет ?

  15. #14
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    30
    Вес репутации
    58
    Убираю галку, нажимаю ОК, получаю предупреждение
    В безопасном режиме тоже самое
    Изображения Изображения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    а после этого скрипта ?
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.

  17. #16
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    30
    Вес репутации
    58
    Ничего не изменилось

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    создайте еще одного пользователя с правами админа ... и попробуйте ...

  19. #18
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    30
    Вес репутации
    58
    Эффект тот же.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от MAzZY Посмотреть сообщение
    Эффект тот же.
    Точно не знаю, но предположитеьно управление этими записями разрешено только тому, кто расшарил папки.

  21. #20
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    30
    Вес репутации
    58
    Это не папки, а файлы. Находятся в C:\Documents and Settings\Adminstrator
    Поставил право полного доступа на файлы и всю папку для основного пользователя - без изменений

    Добавлено через 2 минуты

    Какая-то зараза блокирует именно внесение изменений через msconfig.
    Последний раз редактировалось MAzZY; 18.05.2008 в 11:47. Причина: Добавлено

  • Уважаемый(ая) MAzZY, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 06.10.2010, 23:31
    2. Backdoor.Win32.Agent.fvy и Trojan-Downloader.Win32.Agent.lvm
      От alexm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.09.2010, 00:01
    3. Ответов: 3
      Последнее сообщение: 11.02.2010, 21:00
    4. Backdoor.Win32.Agent.ajcb, Net-Worm.Win32.Kido.jq и чтото еще
      От C0NSUL в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 24.08.2009, 10:43
    5. Win32.Backdoor.Agent + Win32.TrojanSpy.Peed
      От MYMaks в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 06:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00693 seconds with 20 queries