Показано с 1 по 12 из 12.

win32.mutant (заявка № 27058)

  1. #1
    Junior Member Репутация
    Регистрация
    25.07.2008
    Сообщений
    47
    Вес репутации
    35

    Thumbs up win32.mutant

    Здравствуйте. Такая проблема: при подключении к интернету, при открытии IE спусят небольшое время появляеться сообщение, что то типа: Внимание! обнаружена троянская программа. Доступ к объекту C:\WINDOWS\system32\drivers\tcprsr.sys заблокирован. Объект является троянской программой Trojan.Win32.Agent.nwo (или trojan.win32.mutant) рекомендуется удалить... и т.д.

    Касперский из нета обновляться отказывается, говорит что то вроде"... не удалось связаться с сервером обновлений...", в IE странички грузяться, но почему-то без картинок, отключается доступ к редактору реестра и т.д... Да после перезагрузки (после такого вот выхода в интернет) в автозагрузке периодически задействуется с:\docume~1\admin\locals~1\temp\csrssc.exe.

    Надеюсь на Вашу помощь, очнь не хочется ставить систему заново...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Внимание !!! База AVZ поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Logfile of HijackThis v1.99.1 - версию 2.0.2 скачать по ссылке в правилах


    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O2 - BHO: C:\WINDOWS\system32\jdgf8edfsde.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jdgf8edfsde.dll
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('Winyf62');
     DeleteService('Winwd30');
     DeleteService('Winta84');
     DeleteService('Winry28');
     DeleteService('Winqw05');
     DeleteService('Winpv85');
     DeleteService('Winms17');
     DeleteService('Winio63');
     DeleteService('Winio17');
     DeleteService('Winhn41');
     DeleteService('Winfm30');
     DeleteService('Winfl74');
     DeleteService('winfl63');
     DeleteService('Winek41');
     DeleteService('Windj41');
     DeleteService('Winag16');
     DeleteService('tcpsr');
     DeleteService('mickey32');
     DeleteService('ntio922');
     DeleteService('4429ed16');
     DeleteService('jqw27');
     DeleteService('Schedule');
     DeleteService('msupdate');
     DeleteService('Google Online Services');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winag16.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windj41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winek41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winfl63.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winfl74.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winfm30.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn41.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winio17.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winio63.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winms17.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv85.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winqw05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winry28.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winta84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd30.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf62.sys',''); 
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ntio922.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\mickey32.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\4429ed16.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jqw27.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('c:\windows\system32\msvcrtd.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\glok+6-51bc.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Jqw27.sys','');
     QuarantineFile('C:\WINDOWS\system32\jdgf8edfsde.dll','');
     DeleteFile('C:\WINDOWS\system32\jdgf8edfsde.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Jqw27.sys');
     DeleteFile('C:\WINDOWS\glok+6-51bc.sys');
     DeleteFile('C:\Documents and Settings\Admin\ie_updates3r.exe');
     DeleteFile('c:\windows\system32\msvcrtd.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jqw27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\4429ed16.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\mickey32.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\ntio922.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyf62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwd30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winta84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winry28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqw05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpv85.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winms17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winio63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winio17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhn41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfm30.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfl74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfl63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winek41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windj41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winag16.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    25.07.2008
    Сообщений
    47
    Вес репутации
    35
    значит, сделал все что написано - вроде все нормально, только не могу разобраться с обновлениями касперского, ни хочет ни в какую грузиться из интернета... из локального каталога обновляется без проблем... попробую обновиться на другом компе, может действительно что с сервером обновлений?
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от ESCape_ Посмотреть сообщение
    не могу разобраться с обновлениями касперского
    А Касперский тут причем? AVZ/Файл/Обновление баз...

  6. #5
    Junior Member Репутация
    Регистрация
    25.07.2008
    Сообщений
    47
    Вес репутации
    35
    На другом компе обновляется (...

    что может блокировать? куда смотреть?

    да, огромное спасибо, за очень быструю помощь )

    Добавлено через 5 минут

    Касперский из нета обновляться отказывается, говорит что то вроде"... не удалось связаться с сервером обновлений..."

    это я имею ввиду обычный кав 5-ый, со всем остальным уже порядок, вроде... а антивирусник не хочет из нета обновляться ( если обновление перекидывать сдругого комп флешкой, замечательно обновляется... а так пишет ... не удалось связаться с сервером обновлений...", это стало происходить как раз после появления вируса... вот и хочу узнать что надо сделать чтобы антивирусник нормально мог обновляться из тырнеда )

    Добавлено через 11 минут

    переустановка касперского не помогла ( следовательно где-то, что-то блокирует... куда смотреть, с чего начать?
    Последний раз редактировалось ESCape_; 25.07.2008 в 19:14. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Перестаньте флудить.
    Внимание !!! База AVZ поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Logfile of HijackThis v1.99.1 - версию 2.0.2 скачать по ссылке в правилах

    Обновите базы
    Обновите Хайджек
    Повторите логи.
    Третий раз повторять не буду: тема будет закрыта.

  8. #7
    Junior Member Репутация
    Регистрация
    25.07.2008
    Сообщений
    47
    Вес репутации
    35
    Извините за флуд. Итак, обновил AVZ, скачал HijackThis 2.0.2, повторяю логи:
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Отключите антивирус и интернет!

    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\Drivers\Jqw27.sys

    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    Пофиксить

    Код:
    O2 - BHO: C:\WINDOWS\system32\jdgf8edfsde.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jdgf8edfsde.dll (file missing)
    O4 - HKUS\S-1-5-18\..\Run: [HJdfke9kfdf] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{C5AF49A2-94F3-42BD-F434-3604812C897D}');
     DeleteService('smd29');
     DeleteService('jqw27');
     DeleteFile('C:\WINDOWS\system32\Drivers\Jqw27.sys');
     DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
     DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
     DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
     DeleteFile('C:\WINDOWS\system32\jdgf8edfsde.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('smd29 ');
    BC_DeleteSvc('jqw27');    
    BC_Activate;
    ExecuteRepair(5 );
    ExecuteRepair(6 );
    ExecuteRepair(8 );
    ExecuteRepair(13 );    
    ExecuteRepair(17 );    
    RebootWindows(true);
    end.
    Повторите логи...

  10. #9
    Junior Member Репутация
    Регистрация
    25.07.2008
    Сообщений
    47
    Вес репутации
    35
    выполнил
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Чисто,жалобы есть?

  12. #11
    Junior Member Репутация
    Регистрация
    25.07.2008
    Сообщений
    47
    Вес репутации
    35
    все работает, спасибо

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\glok+6-51bc.sys - Email-Worm.Win32.Zhelatin.aec (DrWEB: Trojan.MulDrop.17826)
      2. c:\\windows\\system32\\jdgf8edfsde.dll - Trojan.Win32.Agent.uvk (DrWEB: Trojan.Packed.56
      3. c:\\windows\\system32\\msvcrtd.exe - Trojan.Win32.Inject.dss (DrWEB: Trojan.Packed.569)


  • Уважаемый(ая) ESCape_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor.Win32.IRCBot.epu и TrojanDownloader.Win32.Mutant.aim
      От wideshut в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:51
    2. Downloader.Win32.Mutant.aim
      От Deep Sky в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:01
    3. Win32.Mutant.yf
      От erma в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.08.2008, 11:07
    4. троян win32.mutant.aim
      От zeka в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.08.2008, 11:31
    5. Win32.Mutant.yf
      От igor2999 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.06.2008, 13:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01160 seconds with 17 queries