Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Win32:Trojan-Gen + Win32:Agent-VGV + Заблокированный реестр= Oh, Mine! (заявка № 29132)

  1. #1
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    14
    Вес репутации
    34

    Question Win32:Trojan-Gen + Win32:Agent-VGV + Заблокированный реестр= Oh, Mine!

    Здравствуите уважаемые,
    Вот в чем проблема!

    Некоторое время назад застал комп на том, что svhost отправлял кучу пакетов неизвестного мне происхождения на неизвестные мне SMTP сервера... из чего можно было понять, что svhost рассылает спам... так вот... и ни SpyWareTerminator, DrWeb CureIT, AVZ, HJT, Avast:anti-rootkit ничего не нашли, только аваст руласля на Win32:Trojan-Gen и Win32:Agent-VGV... но удалить их так и не смог... попытался закрыть 25й порт через реестр, но доступ к нему был закрыт какой-то другой живностью (удалил ее пару днеи назад, но реестр так и закрыт)... сканировал авастом перед загрузкой винды... ничего... сделал репаер системы с установочного диска - безрезультатно... вот пару дней назад аваст базы обновил, посему нашел он вновь эти Win32:Trojan-Gen и Win32:Agent-VGV и с горем пополам их удалил.... но (!) кач трафика в непоределенном направлении продолжается!... и теперь уже никто из этой могучей кучки ниможет никого наити....
    Логи во вложениях...
    Последний раз редактировалось MInner; 29.08.2008 в 18:48.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от MInner Посмотреть сообщение
    Логи во вложениях...
    Выполнить логи в строгом соответствии с правилами: http://virusinfo.info/showthread.php?t=1235
    Пролечиться, как написано тут: http://virusinfo.info/showthread.php?t=15927

  4. #3
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    14
    Вес репутации
    34
    вот... а проверку именно так уже выполнил....
    Последний раз редактировалось MInner; 29.08.2008 в 18:48.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Нарушения правил при сборе информации для раздела Помогите.


    - Отсутствует лог Hijackthis после выполнения логов АВЗ.
    - Не выключено системное восстановление.
    - Не закрыты все программы
    - Не запущен Интернет Эксплорер.
    - Не выключен установленный антивирус.


    Логи выполненные с нарушением правил рассматриваться не будут.
    Спасибо за понимание.


    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\WinCtrl32.dll
    C:\WINDOWS\System32\WinCtrl32.bak
    C:\WINDOWS\System32\WinCtrl32.dl_
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Bonjour Service');
     DeleteService('WZCSVCNetman');
     DeleteService('WZCSVCEventlog');
     DeleteService('wuauservProtectedStorageRSVP');
     DeleteService('WebClient Antivirus');
     DeleteService('RDSessMgrwscsvc');
     DeleteService('ProtectedStorageRSVP');
     DeleteService('NtLmSspFastUserSwitchingCompatibility');
     DeleteService('MSDTCERSvc');
     DeleteService('mnmsrvcAddFiltr');
     DeleteService('EventSystemTermService');
     DeleteService('EventlogDhcpThemes');
     DeleteService('dmserverBITS');
     DeleteService('DhcpThemes');
     DeleteService('DhcpTermService');
     DeleteService('DhcpAlerter');
     DeleteService('ClipSrvCOMSysAppPolicyAgent');
     DeleteService('ClipSrvCOMSysApp');
     DeleteService('BITSWmdmPmSN');
     DeleteService('Winxw54');
     DeleteService('Winwv22');
     DeleteService('Winvm55');
     DeleteService('Winrf81');
     DeleteService('Winoh21');
     DeleteService('Winlv08');
     DeleteService('Winls03');
     DeleteService('Winlh08');
     DeleteService('Winjb32');
     DeleteService('Winir10');
     DeleteService('Winhl67');
     DeleteService('Winfn08');
     DeleteService('Winbi64');
     DeleteService('Winam83');
     DeleteService('Winam11');
     DeleteService('Winak52');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winxw54.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winwv22.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winvm55.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winrf81.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winoh21.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winlv08.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winls03.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winlh08.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winjb32.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winir10.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl67.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winfn08.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi64.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winam83.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winam11.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winak52.sys','');
     QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winak52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winam11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winam83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbi64.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfn08.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhl67.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winir10.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjb32.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlh08.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winls03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlv08.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winoh21.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrf81.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvm55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwv22.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxw54.sys');
     DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('WZCSVCNetman');
     BC_DeleteSvc('WZCSVCEventlog');
     BC_DeleteSvc('wuauservProtectedStorageRSVP');
     BC_DeleteSvc('WebClient Antivirus');
     BC_DeleteSvc('RDSessMgrwscsvc');
     BC_DeleteSvc('ProtectedStorageRSVP');
     BC_DeleteSvc('NtLmSspFastUserSwitchingCompatibility');
     BC_DeleteSvc('MSDTCERSvc');
     BC_DeleteSvc('mnmsrvcAddFiltr');
     BC_DeleteSvc('EventSystemTermService');
     BC_DeleteSvc('EventlogDhcpThemes');
     BC_DeleteSvc('dmserverBITS');
     BC_DeleteSvc('DhcpThemes');
     BC_DeleteSvc('DhcpTermService');
     BC_DeleteSvc('DhcpAlerter');
     BC_DeleteSvc('ClipSrvCOMSysAppPolicyAgent');
     BC_DeleteSvc('ClipSrvCOMSysApp');
     BC_DeleteSvc('BITSWmdmPmSN');
     BC_DeleteSvc('Winxw54');
     BC_DeleteSvc('Winwv22');
     BC_DeleteSvc('Winvm55');
     BC_DeleteSvc('Winrf81');
     BC_DeleteSvc('Winoh21');
     BC_DeleteSvc('Winlv08');
     BC_DeleteSvc('Winls03');
     BC_DeleteSvc('Winlh08');
     BC_DeleteSvc('Winjb32');
     BC_DeleteSvc('Winir10');
     BC_DeleteSvc('Winhl67');
     BC_DeleteSvc('Winfn08');
     BC_DeleteSvc('Winbi64');
     BC_DeleteSvc('Winam83');
     BC_DeleteSvc('Winam11');
     BC_DeleteSvc('Winak52');
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 28.08.2008 в 14:28.

  6. #5
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    14
    Вес репутации
    34
    Сделал все, что Вы сказали... закачал карантин (он выдал ошибку при закачке, но как написано в правилах не стал перезагружать)....
    Антивирус полностью выключить не имею возможности, но остановил все его службы (хотя возможно можно выключить avast, но я его недавно поставил)....
    вот логи от AVZ и Hijackthis... (приписал в конце "1" т.к. ругалось на то, что такие фаилы уже есть)...
    Зарание спасибо...
    Последний раз редактировалось MInner; 29.08.2008 в 18:48.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\Documents and Settings\Sergey\Шаблоны\Brengkolang.com');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    удалите задания в планировщике ....
    повторите логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    14
    Вес репутации
    34
    сделал...
    вообщем-то скачка прекратилась... но раз в 30-60 секунд отправляется ~60Кб в никуда... (выключены все приложения, которые могли бы эти 60Кб сьедать)... не смертельно....но не приятно....
    Спасибо Вам, огромное!
    Последний раз редактировалось MInner; 29.08.2008 в 18:48.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Нарушения правил при сборе информации для раздела Помогите.


    - Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
    - Не закрыты все программы
    - Не запущен Интернет Эксплорер.
    - Не выключен установленный антивирус.


    Логи выполненные с нарушением правил рассматриваться не будут.
    Спасибо за понимание.


    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\eced8b5ea8e636fb8bff2b719fa62647\tree.com',''); QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\eced8b5ea8e636fb8bff2b719fa62647\more.com',''); QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\eced8b5ea8e636fb8bff2b719fa62647\format.com','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи начиная от п.10 правил.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    14
    Вес репутации
    34
    вот
    Последний раз редактировалось MInner; 29.08.2008 в 20:06.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от MInner Посмотреть сообщение
    вот
    Я подожду, когда Вы выполните логи в точном соответствии с правилами и моими указаниями жирным красным шрифтом в предыдущем сообщении.
    Как маленько облегчение задачи: Spyware Terminator можете удалить совсем.

  12. #11
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    14
    Вес репутации
    34
    "- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз."
    Обновлены
    "- Не закрыты все программы"
    Выключено все, что можно выключить в трее (и Аваст тоже... вероятно библиотеки еще не выгружены)... в Диспетчере задач ничего не выключал, чтобы не фальфисицировать данные о запущенных приложениях
    "- Не запущен Интернет Эксплорер"
    Включен
    "- Не выключен установленный антивирус"
    Выклюючен

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от MInner Посмотреть сообщение
    "- Не закрыты все программы"
    Выключено все, что можно выключить в трее (и Аваст тоже... вероятно библиотеки еще не выгружены)... в Диспетчере задач ничего не выключал, чтобы не фальфисицировать данные о запущенных приложениях
    Работает Аутлук, Неро+Lightscribe- что Вы собираетесь писать сейчас на диск - не знаю, Спайваре Терминатор.

    Запуск системы в минимальной конфигурации
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. В карточке Службы - Службы Windows не показывать, остальные отключить.
    4. Перегрузить систему, далее по тексту.

  14. #13
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    14
    Вес репутации
    34
    Все как Вы сказали...
    Последний раз редактировалось MInner; 30.08.2008 в 19:54.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    -Пофиксите
    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    Больше ничего плохого не вижу.
    Поставьте Сервис Пак 3, возможно потребуется активация системы.
    Обновите Джаву - очень старая и дырявая.
    Можно обновить Интернет Эксплорер до 7-й версии.

  16. #15
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    14
    Вес репутации
    34
    "Поставьте Сервис Пак 3, возможно потребуется активация системы."
    упс.... значит винду переустанавливать... т.к. отдельно третего сервиспака нету.... а можно через репаер c устанавленой sp2 переити имея диск с цельнои системой sp3....
    "Обновите Джаву - очень старая и дырявая."
    ну.... 16Мб при моем нете - не даи бог)...
    "Можно обновить Интернет Эксплорер до 7-й версии."
    Пользуюсь Оперой...

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от MInner Посмотреть сообщение
    упс.... значит винду переустанавливать... т.к. отдельно третего сервиспака нету...
    Скачайте Сетап по ссылке в моей подписи и запустите как обычное приложение. Систему переустанавливать не надо. Достаточно при установке отключить все резидентные программы, включая антивирус.
    ну.... 16Мб при моем нете - не даи бог)...
    Получите пару руткитов через ее дыры, они больше скачают.
    Пользуюсь Оперой...
    Зловреды об этом не знают и используют дыры ИЕ, который является частью ОС.

  18. #17
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    14
    Вес репутации
    34
    300 Мб по цене 3р\Мб((((.... так можно ли репаем сделать?... (тоесть вообщем-то переустановить винду, на сколько я понимаю работу репая)... или поставить ее отдельно...?... если будет уставлено 2 инды, то драивера, программы и реест общие будут?...

    можно яву тогда совсем удалить... черт с ней...

    если ИЕ удалить, как елемент системы?....

    Добавлено через 45 минут

    черт возьми... все равно траффик куда-то улетает... не опнятно куда....
    Последний раз редактировалось MInner; 29.08.2008 в 22:31. Причина: Добавлено

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ну на вашем месте я бы отключил службу обнаружения ...

  20. #19
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    14
    Вес репутации
    34
    можн по подробнее....?

    Добавлено через 27 минут

    пробывал отключить
    "служба обнаружения сети" и "служба обнаружения SSDP" - ничерта....

    Добавлено через 7 минут

    хм... я конечно понимаю, что это не ваша проблема но по неизвестным причинам банальным QIP начал скачивать и отправлять ка ненормальный по ~400Кб\сек...

    неа... это тут не при чем... кач идет!...
    Последний раз редактировалось Rene-gad; 30.08.2008 в 17:56.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Будете продолжать монолог Чацкого или сделаете новые логи?
    Если первое - то плиз не тут.

  • Уважаемый(ая) MInner, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 25.01.2011, 17:10
    2. Ответов: 9
      Последнее сообщение: 09.10.2010, 12:31
    3. Ответов: 10
      Последнее сообщение: 06.10.2010, 22:31
    4. Ответов: 1
      Последнее сообщение: 30.06.2009, 07:47
    5. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00706 seconds with 16 queries