Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Помогите, Trojan-Downloader.Win32.Mutant.aim! (заявка № 26736)

  1. #1
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    околомосква
    Сообщений
    17
    Вес репутации
    60

    Thumbs up Помогите, Trojan-Downloader.Win32.Mutant.aim!

    Добрый день!
    Просим помощи:
    Лечимся 3-й день, все безрезультатно, Касперский находит, рапортует об удалении, после перезагрузки результат нулевой, троян реинкарнирует.
    Симптоматика - после перезагрузки касперский сообщает следующее:

    19.07.2008 13:40:25 Процесс C:\WINDOWS\system32\winlogon.exe, обнаружено: потенциально опасное ПО 'Invader' (модификация).

    19.07.2008 13:40:38 Файл C:\WINDOWS\System32\drivers\Winkp83.sys, обнаружено: троянская программа 'Trojan-Downloader.Win32.Mutant.aim'. Пользователь: HOME\MD$, компьютер:localhost.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1305
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp62.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo73.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjo38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Gia34.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\TBPanel.SYS','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
     DeleteFile('C:\WINDOWS\System32\Drivers\Gia34.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winaf84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjp62.sys');
    BC_ImportALL;
    ExecuteSysClean;
    DelWinlogonNotifyByKeyName('WinCtrl32');
    BC_DeleteSvc('Winjp62');
    BC_DeleteSvc('Winjo73');
    BC_DeleteSvc('Winjo38');
    BC_DeleteSvc('Winaf84');
    BC_DeleteSvc('Gia34');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26736 ).

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    околомосква
    Сообщений
    17
    Вес репутации
    60
    Карантин загрузил
    Очистил временные файлы через свойства обозревателя.
    как очистить кэш?
    Логи создать, как в первом сообщении, 2 в AVZ и один в hijackthis?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1305
    Имелось ввиду очистить папки Temp (например C:\Windows\Temp) и кеш браузера в смысле - временные файлы интернета (то, что Вы очистили через свойства обозревателя).

    Новые логи создать так же по правилам, как и раньше.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    околомосква
    Сообщений
    17
    Вес репутации
    60
    Высылаю логи.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3026
    Систему обновить, т.е. установить Сервис Пак 3 + последующие обновления
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Пофиксить для порядка
    Код:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    Какие проблемы наблюдаете?

  8. #7
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    околомосква
    Сообщений
    17
    Вес репутации
    60
    Пофиксили.
    На вирусы касперский больше не ругается, все вроде в порядке. Но почти на каждое действие выскакивают окошки с сообщениями типа этого:
    19.07.2008 22:48:37 Процесс C:\Program Files\Apple Software Update\SoftwareUpdate.exe (PID: 3360): попытка создания параметры браузера Microsoft Internet Explorer (ключ HKEY_USERS\S-1-5-21-746137067-261903793-839522115-1003\Software\Microsoft\Internet Explorer\URLSearchHooks, значение {EF99BD32-C1FB-11D2-892F-0090271D4F88}, данные ) разрешена.
    Мы все разрешаем. Не знаем правильно ли... Может стоит касперского поставить в решим с меньшей защитой?
    Систему попробуем обновить позже.
    Огромное спасибо за помощь!

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3026
    Конкретно на тему: Apple Software Update нужно поставить в ручной режим и давать разрешение файрволлу только на тот раз, когда Вы хотите обновить приложения Apple, т.е. каждый раз спрашивать.

  10. #9
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    околомосква
    Сообщений
    17
    Вес репутации
    60
    Понятно.
    А востановление сисиемы уже можно включить? А то она у нас отключена как было предписано инструкцией.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1305
    Восстановление можете включать. В логах чисто. Больше проблем нет?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    околомосква
    Сообщений
    17
    Вес репутации
    60
    Все чисто Проблем нет.
    Большое человеческое спасибо!
    Спасибо за то что вы есть :)

  13. #12
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    околомосква
    Сообщений
    17
    Вес репутации
    60
    Я опять к вам. Сегодня опять словила вирусы. Теперь кажется поняла где, и в тот раз и в этот раз проблемы начались после посещения одного и того же сайта (на который до этого ходила регулярно уже не один год). Сегодня как только открыла тот сайт начал сразу хрюкать Касперский не перставая, сайт сразу закрыла, Касперскому говорила все лечить, запрещать и удалять. Потом компьютер сам два раза перезагрузился при этом перед перезагрузками усиленно хрюкал Касперский. В итоге загрузила в безопасном режиме, проверила доктором Вебом, потом в обычном режиме опять Касперским, они оба нашли разные вирусы, удалили. Ну и делее опять по вашей инструкции. Прицепляю то что получила. Сейчас Касперский молчит, не хрюкает. Помогите еще раз, посмотрите пожалуйста чего там у меня.
    Вложения Вложения
    Спасибо за то что вы есть :)

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1305
    На всякий случай проверим:
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\drivers\TBPANEL.SYS','');
     QuarantineFile('Beep.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Beep.sys','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26736 ).

    Вот это Вам знакомо?
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 74.60.120.228:1025
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D618A7C7-D457-4F0A-B350-B30F7E851685}: NameServer = 85.255.113.132,85.255.112.226
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F73FCD7A-C068-4630-9F8D-55E5AB4A70B6}: NameServer = 85.255.113.132,85.255.112.226
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F88111F4-8F28-4736-AE6F-CF0D862B6EB2}: NameServer = 85.255.113.132,85.255.112.226
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.226
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.226
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.226
    Если незнакомо, то пофиксите в HijackThis эти строчки.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3026
    Вот эти пофиксить обязательно
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D618A7C7-D457-4F0A-B350-B30F7E851685}: NameServer = 85.255.113.132,85.255.112.226
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F73FCD7A-C068-4630-9F8D-55E5AB4A70B6}: NameServer = 85.255.113.132,85.255.112.226
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F88111F4-8F28-4736-AE6F-CF0D862B6EB2}: NameServer = 85.255.113.132,85.255.112.226
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.226
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.226
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.132 85.255.112.226
    Это зловредный сервер из Одессы.

  16. #15
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    околомосква
    Сообщений
    17
    Вес репутации
    60
    Спасибо.
    Пофиксила.
    Скрипт выполнила. Карантин загрузила.
    Спасибо за то что вы есть :)

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3026
    А Сервис Пак 3 почему не поставили? И почему альтернативный браузер не используете?

  18. #17
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    околомосква
    Сообщений
    17
    Вес репутации
    60
    Я всегда использую Фаерфокс, а пока лечусь хожу Експлорером как сказано в инструкции.
    До Сервис Пака руки не дошли каюсь. Уже все утро мужа пинаю по этому поводу, обещал сегодня принести Сервис Пак 2. Третьего нету, а с сайта у нас обновления не ставятся потому как винду мы переустанавливали и ключ уже не подошел и ее поставили так...
    А вообще уже приходит мысль переходить с винды на линух.
    Спасибо за то что вы есть :)

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1305
    Присланный файл чистый. Больше в логах ничего подозрительного. Какаие-то проблемы наблюдаются?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #19
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    околомосква
    Сообщений
    17
    Вес репутации
    60
    Никаких проблем нет
    Спасибо за помощь!
    Спасибо за то что вы есть :)

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3026
    Цитата Сообщение от Чайник Посмотреть сообщение
    На этот раз с компьютера соседки у которой тоже вирусов куча.
    Переносим в отдельную тему: http://virusinfo.info/showthread.php?t=26993

  • Уважаемый(ая) Чайник, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 22.02.2009, 09:28
    2. Помогите с Trojan-Downloader.Win32.Mutant.aim
      От fGremlin в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 09:14
    3. Помогите вылечить trojan-downloader.win32.mutant.aim
      От alladin в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:13
    4. Помогите вычистить Trojan-Downloader.Win32.Mutant.xe
      От ВалерийК в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 05:24
    5. Trojan-Downloader.Win32.Mutant.aib
      От nedolg13 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.06.2008, 15:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01054 seconds with 17 queries