Показано с 1 по 20 из 20.

избавится от трояна (заявка № 24004)

  1. #1
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    10
    Вес репутации
    58

    Thumbs up избавится от трояна

    Своими силами не получается. Dr Web находит, удаляет, но при перезагрузке снова начинает качать, занимает весь трафик
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите интернет и антивирус.
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Temp\NTD632.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\pxF86.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Luc64.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Iqx86.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Sah32.sys','');
     QuarantineFile('C:\WINDOWS\system32\msinet.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\fci.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Sah32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\clbdriver.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\clbdriver.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Sah32.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\fci.exe');
     DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\msinet.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Sah32.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Iqx86.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Luc64.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\pxF86.sys');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
     DeleteFile('C:\WINDOWS\Temp\NTD632.exe');
    BC_ImportDeletedList;
     BC_DeleteSvc('Iqx86');
     BC_DeleteSvc('Luc64');
     BC_DeleteSvc('protect');
     BC_DeleteSvc('pxF86');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('Sah32');
     BC_DeleteSvc('msupdate');
     BC_DeleteSvc('Google Online Services');
     BC_DeleteSvc('FCI');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=24004).
    Обновите базы AVZ.
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    10
    Вес репутации
    58
    При выполнении второго скрипта AVZ закрылся. Отправляю только один скрипт и лог. ССылка на карантин не открывается, Эксплорер зависает, хотя трафика вроде нет. Вложения не делаются, кнопки залипают.

  5. #4
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    10
    Вес репутации
    58
    Вынужден отправить файлы с другого компа. Больной комп так и не смог прицепить файлы к сообщению и не смог доделать скрипт. Просто виснет, перезагрузка не помогает.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте C:\WINDOWS\System32\Drivers\Sah32.sys - force delete
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Recycled\Dc2539.exe','');
     BC_DeleteSvc('Sah32');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Sah32.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Sah32.sys');
     DeleteFile('C:\Recycled\Dc2539.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  7. #6
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    10
    Вес репутации
    58
    Не могу отправить карантин,- нажимаю ссылку и все виснет. и при выполнении скрипта стандартного №3 после 15 минутной проверки просто закрывает AVZ. Пытаюсь отправить что есть- не получается, при нажатии кнопки "управление вложениями" минуты полторы "виснет", потом отпускает и при нажатии снова - тоже самое.
    Что еще можно сделать без отправки логов?

    Добавлено через 3 минуты

    Да, скачал еще по ссылке IseSword, но там нет такого C:\WINDOWS\System32\Drivers\Sah32.sys - force delete, может надо как-то самому этот путь прописать?
    Последний раз редактировалось stk18; 05.06.2008 в 14:06. Причина: Добавлено

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    нажимпете на кнопочку file появится проводник найдете в нем C:\WINDOWS\System32\Drivers\Sah32.sys - потом правой кнопкой мыки Force delete
    так делали ?

  9. #8
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    10
    Вес репутации
    58
    У меня там его уже нет, и трафик не качает. Вроде все нормально, но не могу прицепить логи, просто не открывается окно при нажатии кнопки "управление вложениями" и аналогично карантин.

  10. #9
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    10
    Вес репутации
    58

    Exclamation

    Прицепляю логи с другого компа.

    ...логи с моего больного компьютера, просто с него отправить не могу, поэтому на флешке принес на другой комп и отправиляю с него. Но чето- сам не вижу их здесь. А этого C:\WINDOWS\System32\Drivers\Sah32.sys - еще раз все проверил - нет, может переименовывается, но щас вроде и вирусов-то нет, все работает нормально.
    Вложения Вложения
    Последний раз редактировалось pig; 06.06.2008 в 11:57.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от stk18 Посмотреть сообщение
    У меня там его уже нет.
    да ну ... а в модулях пространсва ядра значится .... так не бывает ...
    где новые логи ... ? для другого компьютера новая тема ...

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    4052.PIF- поищите при помощи авз и пришлите по правилам ...

  13. #12
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    10
    Вес репутации
    58
    Цитата Сообщение от V_Bond Посмотреть сообщение
    4052.PIF- поищите при помощи авз и пришлите по правилам ...
    Открываю авз, поиск файла на диске, отмечаю все жесткие диски, в строке поиска пишу 4052.pif, пуск - и ничего не находит.
    А проблема щас вот с чем. Експлорер по адресной строке заходит на страницу, а вот по ссылкам на этой странице долго думает и не заходит. Поэтому и логи не могу отправить.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    сделайте новые логи ...

  15. #14
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    10
    Вес репутации
    58
    переустановил IE 7.0 - все нормально, Отправляю логи
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ( возможно придется ввести заново настройки днс (есть в договоре провайдера))
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5D84191C-7DF8-4D9F-9F9B-D36DB51D31F4}: NameServer = 85.255.113.125,85.255.112.159
    O17 - HKLM\System\CCS\Services\Tcpip\..\{820506F3-1C2A-4F47-ABFB-C80776A00E9A}: NameServer = 85.255.113.125,85.255.112.159
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C07BEFE9-C184-4C1A-8C28-84E6571316EB}: NameServer = 85.255.113.125,85.255.112.159
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159
    выполните скрипт ...
    Код:
    begin
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    повторите логи начиная с пункта 10 правил ...


    Было:
    Dc2539.exe - Trojan-Downloader.Win32.Mutant.zn
    Sah32.sys - Email-Worm.Win32.Agent.fy
    Последний раз редактировалось Alex_Goodwin; 10.06.2008 в 13:18.

  17. #16
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    10
    Вес репутации
    58
    логи
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах ничего зловредного ...

  19. #18
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    10
    Вес репутации
    58
    Чем лучше предохраняться? И чтоб надежно и бесплатно?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от stk18 Посмотреть сообщение
    Чем лучше предохраняться? И чтоб надежно и бесплатно?
    Знания помноженные на опыт, разум и не трясущиеся руки.... (про руки, это чтоб случайно не кликать мышой)

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\recycled\\dc2539.exe - Trojan-Downloader.Win32.Mutant.zn (DrWEB: Trojan.Rntm.6)
      2. c:\\windows\\system32\\drivers\\sah32.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.207)


  • Уважаемый(ая) stk18, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите избавится от трояна
      От mla в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.11.2011, 16:37
    2. Не могу избавится от трояна
      От toha19841 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.02.2009, 09:51
    3. избавится от трояна v2
      От stk18 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.06.2008, 17:38
    4. Помогите избавится от трояна
      От Alex62 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.02.2008, 15:00
    5. Не могу избавится от трояна!
      От alf186 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 02.09.2007, 06:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00498 seconds with 20 queries