Показано с 1 по 17 из 17.

Malware или атака троянами (заявка № 23626)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    9
    Вес репутации
    58

    Question Malware или атака троянами

    Мой компьютер атакуют трояны, какие-то руткиты ничего не могу понять! Пару раз от avast приходило сообщение, что возможно моя машина имеет все признаки инфицирования malware! Машина тормозит при включении или вообще не включается, после загрузки появляется рабочий стол, но он пустой сделала все согласно Вашей инструкции! Надеюсь на Вашу помощь
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\NT8732.exe','');
     QuarantineFile('C:\WINDOWS\totacon.exe','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\libor.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\herjek.exe','');
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\win32osf.exe','');
     DeleteFile('C:\WINDOWS\system32\win32osf.exe');
     DeleteFile('C:\WINDOWS\winlogon.exe');
     DeleteFile('C:\WINDOWS\herjek.exe');
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
     DeleteFile('C:\WINDOWS\libor.exe');
     DeleteFile('C:\WINDOWS\totacon.exe');
     DeleteFile('C:\WINDOWS\Temp\NT8732.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=23626).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    9
    Вес репутации
    58
    Выполнила все, так как Вы мне рекомендовали!
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Уже гораздо лучше, но еще не всё.
    Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\clbdriver.sys','');
     QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите новый карантин по правилам.

    Вот эту строчку в HijackThis можно пофиксить:
    Код:
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    Добавлено через 8 минут

    C:\WINDOWS\system32\userinit.exe - Trojan.Win32.Agent.qry
    Удалять его нельзя, надо заменить его чистым из дистрибутива или со здоровой системы.
    Последний раз редактировалось Shu_b; 29.05.2008 в 19:04. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    9
    Вес репутации
    58
    строчку в HijackThis пофиксила
    а вот выполнить скрипт не удалось, почему-то! Программа выдает следующую ошибку
    Ошибка скрипта: ')' expected, позиция [5:18]
    Как быть?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от ксена Посмотреть сообщение
    Как быть?
    поправил

  8. #7
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    9
    Вес репутации
    58
    Цитата Сообщение от Shu_b Посмотреть сообщение
    поправил
    Спасибо
    Карантин отправила

  9. #8
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    9
    Вес репутации
    58
    Я прошу прощения хотела спросить а что мне теперь делать?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    clbdriver.sys - Trojan.Win32.DNSChanger.drk,
    SETUPAPI.dll - Trojan.Win32.Agent.qtj
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\drivers\clbdriver.sys');
     DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новые логи

  11. #10
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    9
    Вес репутации
    58
    Как я понимаю, я должна было сделать опять скрипт в AVZ. правильно?
    Нужно ли было Вам присылать карантин после этого?
    Цитата Сообщение от Shu_b Посмотреть сообщение
    Сделайте новые логи
    сделала новые логи
    Вложения Вложения
    Последний раз редактировалось ксена; 30.05.2008 в 18:55.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Отключите антивирус!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
     DeleteFile('C:\System Volume Information\_restore{1505228D-A30C-4DEE-BE01-9D32730737D9}\RP12\A0010671.dll');
     DeleteFile('C:\System Volume Information\_restore{1505228D-A30C-4DEE-BE01-9D32730737D9}\RP5\A0008425.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам,повторите логи.

  13. #12
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    9
    Вес репутации
    58
    сделала
    Вложения Вложения
    Последний раз редактировалось ксена; 31.05.2008 в 21:43.

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Деинсталируйте ConnectionServices это адваре,userinit.exe не забудьте заменить,в логах чисто,жалобы есть?

  15. #14
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    9
    Вес репутации
    58
    ConnectionServices деинсталлировала!
    Жалоб нет!
    Но есть вопрос userinit.exe я могу взять только с установочного диска Windows? Простите, но я не свосем сведуща в этих вопросах и могу ли я теперь включить Восстановление системы? буду благодарна за ответ
    Последний раз редактировалось ксена; 31.05.2008 в 22:26.

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Надо сделать так:

    1. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
    2. В диалоговом окне "Открыть" введите команду cmd и нажмите кнопку "OK".
    3. В командной строке введите sfc /scannow и нажмите "ENTER".

    Windows будет проверять целостность системных файлов,понадобится диск с дистрибутивом.

  17. #16
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    9
    Вес репутации
    58
    Доброго времени суток!
    У меня avast опять выдает сообщение о наличии Malware у меня в компьютере
    Также при включении в правом нижнем углу появляется желтый триеугольник с восклицательным знаком и сообщение о том, что заканчивается виртуальная память Windows помогите, пожалуйста, разобраться!
    Вложения Вложения

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 37
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.o (DrWEB: Trojan.BitAcc)
      2. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.qtj (DrWEB: Trojan.DownLoader.62734)
      3. c:\\system volume information\\_restore{1505228d-a30c-4dee-be01-9d32730737d9}\\rp12\\a0010671.dll - not-a-virus:WebToolbar.Win32.BitAccelerator.e (DrWEB: Trojan.BitAcc)
      4. c:\\system volume information\\_restore{1505228d-a30c-4dee-be01-9d32730737d9}\\rp5\\a0008425.dll - Trojan.Win32.ConnectionServices.o (DrWEB: Trojan.BitAcc)
      5. c:\\windows\\herjek.exe - Email-Worm.Win32.Zhelatin.zb (DrWEB: Trojan.Packed.46
      6. c:\\windows\\libor.exe - Trojan-Downloader.Win32.Cntr.v (DrWEB: Trojan.Packed.447)
      7. c:\\windows\\system32\\drivers\\clbdriver.sys - Trojan.Win32.DNSChanger.drk
      8. c:\\windows\\system32\\drivers\\grande48.sys - Rootkit.Win32.Agent.aih (DrWEB: Trojan.Sentinel)
      9. c:\\windows\\system32\\userinit.exe - Trojan.Win32.Agent.qry (DrWEB: Trojan.PWS.Lich)
      10. c:\\windows\\system32\\win32osf.exe - Worm.Win32.AutoRun.dqo (DrWEB: Win32.HLLW.Autoruner.2031)
      11. c:\\windows\\temp\\nt8732.exe - Trojan-Dropper.Win32.Agent.seg (DrWEB: Trojan.MulDrop.16286)
      12. c:\\windows\\temp\\winlogon.exe - SpamTool.Win32.Agent.kf (DrWEB: Trojan.Inject.3405)
      13. c:\\windows\\totacon.exe - Email-Worm.Win32.Zhelatin.zt (DrWEB: Trojan.Packed.460)
      14. c:\\windows\\winlogon.exe - Trojan-Proxy.Win32.Small.mp (DrWEB: Trojan.Packed.573)


  • Уважаемый(ая) ксена, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Malware Bytes Anti Malware (mbam)
      От dfinc в разделе AntiViruses, Anti-Adware / Spyware / Hijackers
      Ответов: 0
      Последнее сообщение: 28.05.2009, 10:09
    2. Проблема с троянами
      От VaNcHeR в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 07.05.2009, 10:02
    3. Помощь с троянами!
      От volveras в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.03.2009, 12:43
    4. Побило троянами
      От Victoribn в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 02:22
    5. URL c троянами
      От в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 19.04.2005, 18:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01630 seconds with 20 queries