Показано с 1 по 12 из 12.

Троян удаление которого Касперским приводит к сбою системы (заявка № 30128)

  1. #1
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    11
    Вес репутации
    35

    Троян удаление которого Касперским приводит к сбою системы

    Касперский обнаружил зараженный файл (WINDOWS\system32\basesrv32.dll) и при лечении сообщил "будет удалено при перезагрузке компьютера: троянская программа Trojan.Win32.Inject.etk"

    ...удаляет

    ...удаление приводит к сбою системы (синий экран после перезагрузки)

    Пожалуйста помогите правельно вылечить компьютер от зараженных файлов.
    Последний раз редактировалось tod; 09.01.2011 в 15:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{64311111-1111-1121-1111-111191113457}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
     BC_DeleteSvc('smtpdrv');
     QuarantineFile('msupdate.sys','');
     BC_DeleteSvc('msupdate');
     QuarantineFile('E:\WINDOWS\system32\basesrv32.dll','');
     SysCleanAddFile('msupdate.sys');
     SysCleanAddFile('tehlink0.dll');
     SysCleanAddFile('kdfsc.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку:
    http://virusinfo.info/upload_virus.php?tid=30128
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к этой теме.

    PS Пора уже Service Pack 3 на Windows устанавливать (может потребоваться активация).

  4. #3
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    11
    Вес репутации
    35
    1 Выполнил скрипт;

    2 Послал файлы из карантина AVZ:
    "Результат загрузки
    Файл сохранён как 080914_035158_virus_48ccd0aed0618.zip
    Размер файла 14292
    MD5 94c8c0845d55e81ddede30068baacc72
    Файл закачан, спасибо!";


    3 Сделал новые логи начиная с 10-го пункта правил;

    Скажите пожалуйста, я всё правельно сделал, лечение завершено?
    Последний раз редактировалось tod; 09.01.2011 в 15:18.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Все правильно.
    В логах ничего зловредного не видно.
    Для очистки мусора пофиксте в HijackThis следующие строки:
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
    O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file)
    O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)
    O2 - BHO: (no name) - {DB5825EA-B434-C69E-8E2D-81387140521A} - (no file)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O20 - Winlogon Notify: sysfldr - E:\WINDOWS\
    O20 - Winlogon Notify: tehlink0 - E:\WINDOWS\
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
    O21 - SSODL: UpperHost - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - (no file)
    Файл E:\WINDOWS\system32\basesrv32.dll тоже можно удалить.
    Как я понимаю, проблем больше нет?

  6. #5
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    11
    Вес репутации
    35
    1 профиксил в HijackThis;
    2 basesrv32.dll удалил;

    Верно, проблем не осталось, ОС загружается и работает.

    Большое, Вам, спасибо!
    Спасибо, разработчикам AVZ и HijackThis!

    Я приятно удивлен насколько просто и быстро по времени оказалось лечение под вашим руководством с использованием софта AVZ и HijackThis.

    Были бы рекламные блоки (типа google) на вашем сайте, я обязательно, несколько раз за неделю обращал бы на них внимание , так сказать небольшая, материальная благодарность
    А так, при первом удобном случае расскажу про вашу помощь и софт на других ресурсах.

    Еще раз, спасибо!

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    tod, каким образом Вы собираете логи и выполняете скрипты AVZ, если Ваш компьютер не может загрузиться ("синий экран после перезагрузки")?

  8. #7
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    11
    Вес репутации
    35
    Всё просто, несколько операцинных систем на одном жестком диске и у есть меня полная-резервная копия жёсткого диска (диск №2, клон диска №1).
    К сожалению копия тоже заражена, но в данном случае оказалось, что не делается, всё к лучшему... я просто восстанавливал удалённый файл с клонированного жесткого диска.

    Кстати, для AVZ была бы очень полезна опция создание резервной копии файлов, клоникование всего жесткого диска...

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Все ясно.
    В таком случае сделайте еще раз логи, загрузившись с вылеченной системы. Вполне вероятно, что там необходимо почистить реестр от остатков вируса.

  10. #9
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    11
    Вес репутации
    35
    В правилах, пункт 7 - Отключите восстановление системы (Windows Me/XP).
    В следующих пунктах не нашёл указаний про включение восстановления системы.

    Так как лечение завершено,
    я понимаю, что восстановление системы мне можно включить?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Были бы рекламные блоки (типа google) на вашем сайте, я обязательно, несколько раз за неделю обращал бы на них внимание , так сказать небольшая, материальная благодарность
    Вариантов нас отблагодарить много, выбирайте на свой вкус:
    http://virusinfo.info/showthread.php?t=17130

    Добавлено через 1 минуту

    Цитата Сообщение от tod
    Так как лечение завершено,
    я понимаю, что восстановление системы мне можно включить?
    Давайте новые логи. Если там все будет хорошо, то можно будет включить.
    Последний раз редактировалось AndreyKa; 14.09.2008 в 14:00. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    11
    Вес репутации
    35
    Технически дело было так:

    Два жестких диска (две коробочки):
    - диск 1 - рабочий
    - диск 2 - клон (резервная копия)

    На диск 1 попал вирус (basesrv32.dll)
    Диск 2 клонирован с вирусом
    На диске 1 Касперский обнаружил вирус, удалил, система перестала работать
    С диска 2 на диск 1 был скопирован файл basesrv32.dll
    Диск 1 снова стал работать, на нем я и производил лечение и общение с вашей дружелюбной командой

    Итог:
    диск 1 вылечен (спасибо вам)
    диск 2 заражён, но нет смысла его лечить, так как я скоро перезапишу его данными с диска 1, из за плановой операции клонирования

    Сейчас антивирусник не ругается.
    Разве лечение не закончено?
    Какие пункты правил мне снова выполнять?

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. e:\\windows\\system32\\basesrv32.dll - Trojan.Win32.Inject.etk (DrWEB: Trojan.Inject.3759)


  • Уважаемый(ая) tod, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 13.10.2011, 17:05
    2. Ответов: 4
      Последнее сообщение: 21.09.2010, 00:10
    3. Ответов: 7
      Последнее сообщение: 15.10.2009, 11:43
    4. Троян не лечится Касперским
      От acer757 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.09.2009, 10:35
    5. Новый патч от Microsoft приводит к краху системы
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 17.04.2006, 13:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00572 seconds with 16 queries