Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

борюсь с вирусами со времен ms-dos 3.10, но этот достал.. (заявка № 28210)

  1. #1
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35

    Thumbs up борюсь с вирусами со времен ms-dos 3.10, но этот достал..

    Прошу помощи борцов с вирусом Trojan-Downloader.Win32.Mutant.aim. как не лечи его Каспером 7, drweb 4.44 появляется. поставил Kis отмониторить - ничего. сам по себе мутант появляется раз в 2 дня и качает вири. уже заставку мне поставил - Spyware detected, а сегодня синий экран смерти =) я повелся...
    и блин самое обидное Kis его ловит только когда файл подозрительный найдет, а сам процесс обновления виря не мониторит....
    а как я кис ставил после drweb это отдельная песня =)
    вообщем помогите...
    Последний раз редактировалось deep; 17.08.2008 в 09:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\gpprefcl.dll','');
     QuarantineFile('D:\WINDOWS\kvxqmtre.dll','');
     QuarantineFile('D:\WINDOWS\evgratsm.dll','');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('srv.exe','');
     DeleteFile('D:\WINDOWS\evgratsm.dll');
     DeleteFile('D:\WINDOWS\kvxqmtre.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('Wmi Defrag');
    BC_DeleteSvc('UPSRpcLocator');
    BC_DeleteSvc('TapiSrvWmi');
    BC_DeleteSvc('NetlogonNMIndexingService');
    BC_DeleteSvc('MSDTCWmiApSrv');
    BC_DeleteSvc('ImapiServiceALG');
    BC_DeleteSvc('hkmsvcAlerter');
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(5);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=28210 ).

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35
    вторая часть загруженного

    вот что нашел по утру KIS 7

    обнаружено: потенциально опасное ПО Invader Процесс: D:\WINDOWS\system32\winlogon.exe
    удалено: троянская программа Trojan-Downloader.Win32.Mutant.aim Файл: d:\windows\system32\drivers\winct00.sys
    удалено: троянская программа Trojan-Downloader.Win32.Mutant.aim Файл: D:\System Volume Information\_restore{C8C2405F-FA3B-474A-BCA5-04382CCC75F1}\RP5\A0000366.SYS
    удалено: троянская программа Trojan-Downloader.Win32.Mutant.axq Файл: D:\WINDOWS\system32\WinCtrl32.dll
    удалено: троянская программа Trojan.Win32.Monder.gen Файл: h:\temp\scan.exe
    удалено: троянская программа Trojan.Win32.Monder.gen Файл: d:\windows\system32\lphcgjvj0e945.exe
    удалено: троянская программа Trojan-Downloader.Win32.Mutant.aim Файл: d:\windows\system32\drivers\winkx80.sys
    удалено: троянская программа Trojan-Downloader.Win32.Agent.aayp Файл: D:\WINDOWS\system32\~.exe//PE_Patch//MewBundle//MEW//#
    удалено: троянская программа Trojan-Downloader.Win32.Mutant.axq Файл: D:\System Volume Information\_restore{C8C2405F-FA3B-474A-BCA5-04382CCC75F1}\RP1\A0000006.dll
    удалено: троянская программа Trojan.Win32.Monder.gen Файл: D:\System Volume Information\_restore{C8C2405F-FA3B-474A-BCA5-04382CCC75F1}\RP1\A0000007.exe
    удалено: троянская программа Trojan-Downloader.Win32.Agent.aayp Файл: D:\System Volume Information\_restore{C8C2405F-FA3B-474A-BCA5-04382CCC75F1}\RP1\A0000008.exe//PE_Patch//MewBundle//MEW//#
    удалено: троянская программа Trojan-Downloader.Win32.Agent.aayp Файл: D:\System Volume Information\_restore{C8C2405F-FA3B-474A-BCA5-04382CCC75F1}\RP1\A0000016.exe//PE_Patch//MewBundle//MEW//#
    удалено: троянская программа Trojan-Downloader.Win32.Mutant.aim Файл: d:\windows\system32\drivers\winqi53.sys


    комп постоянно в онлайне. использую utorrent.exe клиента торрент. может через него?
    в темпе(h:\temp) появляется переодически scan.exe и запускается
    а также ~.exe, а также winctrl32.dll
    посмотрел в безопасном режиме службы. есть куча подозрительных с файлом srv. отключил.
    постоянно включает восстановление системы и пихает свои файлы в защищенную область... отключил, пофиксил

    как дальше бороться?
    Последний раз редактировалось deep; 17.08.2008 в 09:40.

  5. #4
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35
    чего-то не вложилось. пробую еще раз
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    все выполнять в нормальном режиме ....!!!
    оключите восстановление системы !!!
    скачайте C:\WINDOWS\System32\Drivers\Winqi53.sys - force delete
    віполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\blphcgjvj0e945.scr','');
     QuarantineFile('D:\WINDOWS\system32\lphcgjvj0e945.exe','');
     DeleteService('Spoolerlanmanserver');
     DeleteService('IDriverTMessenger');
     QuarantineFile('srv.exe','');
     QuarantineFile('D:\WINDOWS\system32\Drivers\Winqi53.sys','');
     QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('D:\WINDOWS\system32\Drivers\Winqi53.sys');
     DeleteFile('srv.exe');
     DeleteFile('D:\WINDOWS\system32\lphcgjvj0e945.exe');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('D:\WINDOWS\system32\blphcgjvj0e945.scr');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  7. #6
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35
    Цитата Сообщение от V_Bond Посмотреть сообщение
    все выполнять в нормальном режиме ....!!!
    оключите восстановление системы !!!
    скачайте C:\WINDOWS\System32\Drivers\Winqi53.sys - force delete
    віполните скрипт ....
    скачался icesword, а где там force delete не нашел.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500

  9. #8
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35
    Цитата Сообщение от V_Bond Посмотреть сообщение

    угу. спасибо. только этот файл кто-то уже стер... может каспер.может avs

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Цитата Сообщение от deep Посмотреть сообщение
    угу. спасибо. только этот файл кто-то уже стер...
    ну это вряд -ли ....
    логи давайте ...

  11. #10
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35
    карантин выслал
    оптравляю еще раз логи
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('D:\WINDOWS\AUTOLO~1\AL2DLL.dll','');
    end.
    пришлите карантин согласно приложения 3 правил ...

  13. #12
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35
    отправил... вроде тишина пока... думаю сервисы были инсталированы... они вредили. посмотрим что ночью будет

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    AL2DLL.dll - чистый ...
    больше ничего подозрительного ...

  15. #14
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35
    НУ ЧЕГО ТО Я СГЛАЗИЛ. ОПЯТЬ ВСЕ ПРОЯВЛЯЕТСЯ.
    ОТПРАвил весь карантин и файлы
    еще есть подозрение на acrord32.exe как его добавить в карантин?
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    удалить в icesword
    D:\WINDOWS\System32\drivers\Winxd23.sys
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      DeleteFile('D:\WINDOWS\System32\drivers\Winxd23.sys');
     BC_DeleteSvc('Winxd23');
     BC_DeleteSvc('CiSvcIDriverT');
     DeleteFile('D:\WINDOWS\system32\blphcgjvj0e945.scr');
     DeleteFile('D:\WINDOWS\system32\lphcgjvj0e945.exe');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    повторте логи ...

  17. #16
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35
    извините, что трачу ваши человеко-часы, но вот вам еще...
    я не знаю, что вы там делаете с этими логами, но большое спасибо за терпение...
    и если знаете кто это написал намыльте мне, я ему тоже здоровья хочу пожелать, т.к. оно ему скоро очень понадобится
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Пофиксите для порядка.
    O20 - Winlogon Notify: WinCtrl32 - D:\WINDOWS\
    В остальном чисто.
    Какие проблемы замечаете?

  19. #18
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35
    каспер только что нашел и пофиксил...
    проблемы следующие.... смотрю инет - новости про грузию, качаю торренты клиентом utorrent - канал загружен полностью... каааак только канал освобождается сразу захламляется h:\temp\ - это темповый каталог жестко указанный у меня в энвайроменте. появляются файлы windows\system32\~.exe,
    h:\temp\scan.exe и подружаются в память. начинает жутко чирикать винт и я понимаю, что встрял
    также меняется заставка - экран смерти(фейк, но прикольный), на десктопе появляется -spyware detected типа скачайте еще один инстольник трояна...
    самое поганое -я системность этого выявить не могу
    думаю, что наши "американские партнеры" ищут по торренту открытые компы и заливают туда троянов... но блин этим клиентом сколько народу пользуется и вроде тишина...

    раньше маленький канал был - никому не нужен был, а щас....

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    заканчивайте пользоваться торентом .... ничего в нем хорошего нет ... и быть не может ... закрывайте все интернет шары ... давайте новые логи ...

  21. #20
    Junior Member Репутация
    Регистрация
    16.08.2008
    Сообщений
    13
    Вес репутации
    35
    Цитата Сообщение от V_Bond Посмотреть сообщение
    заканчивайте пользоваться торентом .... ничего в нем хорошего нет ... и быть не может ... закрывайте все интернет шары ... давайте новые логи ...
    ну свежие логи чуть выше. торрент работал нормально до поры... я вовремя сделал 4 dvdr архива файлов и фоток =)

    а торрентс хорошая штука, очень много полезной информации... подождем до утра. я уезжаю на неделю, в связи с вирусной эпидемией отключу комп. пусть отдыхает...

  • Уважаемый(ая) deep, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Борюсь весь день
      От alex2san в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.01.2010, 09:34
    2. Этот Sanitardiska достал
      От Mameluk в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 04:42
    3. 6 дней борюсь с Worm.Win32.Delf.dn
      От Миротворец. в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 02:30
    4. Безуспешно борюсь с lup.exe и mssvcc.exe
      От AMO16 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.05.2006, 23:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00911 seconds with 17 queries