Показано с 1 по 17 из 17.

Подозрение на Trojan. Vapsup & Adware.Agent.BN (заявка № 30137)

  1. #1
    Junior Member Репутация
    Регистрация
    14.09.2008
    Сообщений
    9
    Вес репутации
    57

    Подозрение на Trojan. Vapsup & Adware.Agent.BN

    Всем привет!

    В общем, со вчерашнего дня такая проблема, постоянно выскакивает предложение скачать антишпионское ПО, вылетают левые ярлыки на рабочий стол, помимо этого, в моем компьютере исчез жесткий диск С и Д, остались только Панель Управления и Мои Документы, через них в диск С заходит.

    Помогите плз...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    1.пофиксить в hijcakthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
    O21 - SSODL: mgxfebsq - {ACB55C8C-0DFB-48AD-B946-178E5D693C0D} - C:\WINDOWS\mgxfebsq.dll
    O21 - SSODL: dtseqrxk - {F1611BB4-CD3C-4BB8-8F52-48E3825900D9} - C:\WINDOWS\dtseqrxk.dll
    2. Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mstask.dll','');
     QuarantineFile('C:\Program Files\VisualTaskTips\VttHooks.dll','');
     QuarantineFile('C:\WINDOWS\evlw.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\iksysflt.sys','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\fmedia.cpl','');
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
     DelBHO('{E6F9AADF-82B2-4F60-9482-23FF506C3535}');
     QuarantineFile('C:\WINDOWS\vmgspntbbtx.dll','');
     QuarantineFile('C:\DOCUME~1\Fifaxsb\LOCALS~1\Temp\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
     QuarantineFile('C:\WINDOWS\dtseqrxk.dll','');
     QuarantineFile('C:\WINDOWS\mgxfebsq.dll','');
     QuarantineFile('C:\PROGRA~1\DOWNLO~2\DPMenu.dll','');
     QuarantineFile('c:\windows\system32\wuauclt.exe','');
     QuarantineFile('c:\windows\explorer.exe','');
     DeleteFile('C:\WINDOWS\dtseqrxk.dll');
     DeleteFile('C:\WINDOWS\mgxfebsq.dll');
     DeleteFile('C:\DOCUME~1\Fifaxsb\LOCALS~1\Temp\svchost.exe');
     DeleteFile('C:\WINDOWS\vmgspntbbtx.dll');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
     DeleteFile('C:\WINDOWS\evlw.exe');
     BC_QrSvc('Network Driver Interface');
    BC_ImportAll;
    ExecuteSysClean;
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось drongo; 14.09.2008 в 09:50.

  4. #3
    Junior Member Репутация
    Регистрация
    14.09.2008
    Сообщений
    9
    Вес репутации
    57
    Спасибо. Сделал, вроде бы все решилось, кроме одного - справа внизу около часов написано VIRUS ALERT!

    Залил все логи еще раз.

    deleted

    Спасибо еще раз за помощь!
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 14.09.2008 в 15:47.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Вы правила читали? Вы сообщение drongo читали?
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

    Нарушения правил при сборе информации для раздела Помогите.


    - Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
    - Не обновлена версия Hijackthis. Скачайте последнюю версию по ссылке в правилах.
    - Не закрыты все программы
    - Не выключен установленный антивирус.


    Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
    Повторите 3 лога в соответствии с правилами.
    Спасибо за понимание.

  6. #5
    Junior Member Репутация
    Регистрация
    14.09.2008
    Сообщений
    9
    Вес репутации
    57
    Извиняюсь, тупанул чего-то
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Корзину (Свойства/Файлы удалять немедленно..)

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-00401C608512}');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    14.09.2008
    Сообщений
    9
    Вес репутации
    57
    Еще раз спасибо за помощь. Все сделал, правда надпись у часов осталась. Перезалил карантин и 3 лога.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
     RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');    
     RebootWindows(true);
    end.
    больше ничего подозрительного

  10. #9
    Junior Member Репутация
    Регистрация
    14.09.2008
    Сообщений
    9
    Вес репутации
    57
    Выполнил, все окей!

    Спасибо, символическую благодарность скину по вэбмани

  11. #10
    Junior Member Репутация
    Регистрация
    14.09.2008
    Сообщений
    9
    Вес репутации
    57
    Еще раз привет!

    С чем может быть связана проблема, что опять стали выскакивать трояны? Т.е. пока что никакие ссылки появляться не стали, а просто Др. Вэб постоянно "кричит", что обнаружен троян, в папках Temp и т.д. (C:\Documents and Settings\Fifaxsb\Local Settings\Temporary Internet Files\Content.IE5\3Q12KKOV\test1[1].exe - инфицирован Trojan.PWS.Siggen.16) и (C:\Documents and Settings\Fifaxsb\Cookies\yalzc.exe - инфицирован Trojan.PWS.Siggen.16)

    Делал проверку Spyware Doctor, нашел Vapsup, Spy-Zbot, Virtumonde и Trojan Dropper.Agent Ce...

    Мб нет смысла проверять этой программой? Что посоветуете?

    Сделать логи?
    Последний раз редактировалось Ruslangg; 16.09.2008 в 07:17.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Ruslangg Посмотреть сообщение
    С чем может быть связана проблема, что опять стали выскакивать трояны?
    Очистите темп-папки, кэш проводников и корзину.
    АВЗ. Файл/Мастер поиска и устранения проблем... Искать и устранить все проблемы во всех категориях

  13. #12
    Junior Member Репутация
    Регистрация
    14.09.2008
    Сообщений
    9
    Вес репутации
    57
    Сделал. До очистки сделал логи, навсякий случай выложу, вдруг что найдете. Спасибо.

    П.с. Такой вопрос, что делает файл userinit.exe в корне диска С?
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Ruslangg Посмотреть сообщение
    Такой вопрос, что делает файл userinit.exe в корне диска С?
    Добавьте его в карантин после скрипта/перезагрузки.

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Schedule', 4);
     QuarantineFile('C:\WINDOWS\system32\tljjyhkd.dll','');
     QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\Fifaxsb\Главное меню\Программы\Автозагрузка\userinit.exe','');
     QuarantineFile('C:\Documents and Settings\Fifaxsb\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\hgGvVoLB.dll','');
     DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-00401C608512}');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
     QuarantineFile('c:\documents and settings\fifaxsb\local settings\temporary internet files\content.ie5\apw1p28c\silent.dll[1].bak','');
     QuarantineFile('C:\Documents and Settings\Fifaxsb\Local Settings\Temporary Internet Files\Content.IE5\3Q12KKOV\silent.dll[1].bak','');
     QuarantineFile('C:\WINDOWS\system32\cnrsovqe.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteService('Network Driver Interface');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\cnrsovqe.dll');
     DeleteFile('C:\Documents and Settings\Fifaxsb\Local Settings\Temporary Internet Files\Content.IE5\3Q12KKOV\silent.dll[1].bak');
     DeleteFile('c:\documents and settings\fifaxsb\local settings\temporary internet files\content.ie5\apw1p28c\silent.dll[1].bak');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\hgGvVoLB.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\Documents and Settings\Fifaxsb\svchost.exe');
     DeleteFile('C:\Documents and Settings\Fifaxsb\Главное меню\Программы\Автозагрузка\userinit.exe');
     DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\tljjyhkd.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('Network Driver Interface');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  15. #14
    Junior Member Репутация
    Регистрация
    14.09.2008
    Сообщений
    9
    Вес репутации
    57
    Сделал, пока что ситуация не ясна, ибо теперь вместо рекламы гугл отображается всякая ерунда, типа You computer was hacked, click here ....

    Залил логи и карантин, помогите плз, устал уже бороться. Др. Вэб свежий (правда сейчас стала какая-то странная штука - запускаю сканер Др. Вэб, выдается ошибка .exe файла), брэндмаузер включен, что еще сделать?
    Вложения Вложения
    Последний раз редактировалось Ruslangg; 16.09.2008 в 20:15.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{97CA1863-18DE-45BD-AE2E-B05668E389A4}');
     QuarantineFile('C:\Documents and Settings\Fifaxsb\Local Settings\Temporary Internet Files\Content.IE5\3Q12KKOV\silent.dll[1].bak','');
     DelBHO('{1D194AD8-A82F-47DE-84A2-8C84D2B52D01}');
     DelBHO('{19A58582-71CB-42EA-9DDA-0960CE5BAB37}');
     DelBHO('{10D008C6-43DC-4E8D-9B53-7D96E7A6D964}');
     QuarantineFile('C:\WINDOWS\system32\hgGvVoLB.dll','');
     QuarantineFile('C:\WINDOWS\system32\ovvpegkn.dll','');
     QuarantineFile('C:\WINDOWS\system32\smspkvgf.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rrvvszfm.sys','');
     QuarantineFile('C:\WINDOWS\system32\geBsQhIx.dll','');
     QuarantineFile('C:\WINDOWS\system32\earbvqgu.dll','');
     DeleteFile('C:\WINDOWS\system32\earbvqgu.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\rrvvszfm.sys');
     DeleteFile('C:\WINDOWS\system32\smspkvgf.dll');
     DeleteFile('hgGvVoLB.dll');
     DeleteFile('C:\WINDOWS\system32\ovvpegkn.dll');
     DeleteFile('C:\WINDOWS\system32\hgGvVoLB.dll');
     DeleteFile('C:\WINDOWS\system32\geBsQhIx.dll');
     DeleteFile('C:\Documents and Settings\Fifaxsb\Local Settings\Temporary Internet Files\Content.IE5\3Q12KKOV\silent.dll[1].bak');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    приришлите карантин согласно приложения 3 правил...
    повторите логи ...
    локальная сеть есть ?

  17. #16
    Junior Member Репутация
    Регистрация
    14.09.2008
    Сообщений
    9
    Вес репутации
    57
    Скрипт выполнил.

    Локальная сеть есть, но она не активна уже пару недель (кабель выдернут )

    Перезалил карантин и логи...

    Также, установил все доступные апдейты на винду ХП и ИЕ, до этого не мог поставить СП3, выдавалась ошибка, сейчас все замечательно встало. Визуально все отлично сейчас.

    Можно больше ничего не делать?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 17.09.2008 в 14:01.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 5
    • Обработано файлов: 128
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\fifaxsb\\local settings\\temporary internet files\\content.ie5\\apw1p28c\\silent.dll[1].bak - Trojan.Win32.BHO.gts
      2. c:\\documents and settings\\fifaxsb\\local settings\\temporary internet files\\content.ie5\\l1jsde5a\\silent.dll[1].bak - Trojan.Win32.BHO.gts
      3. c:\\documents and settings\\fifaxsb\\local settings\\temporary internet files\\content.ie5\\3q12kkov\\silent.dll[1].bak - Trojan.Win32.BHO.gts
      4. c:\\documents and settings\\fifaxsb\\svchost.exe - Trojan.Win32.Nosok.bk (DrWEB: Trojan.Alupko.14)
      5. c:\\documents and settings\\fifaxsb\\главное меню\\программы\\автозагрузка\\userinit.exe - Trojan.Win32.Nosok.bk (DrWEB: Trojan.Alupko.14)
      6. c:\\documents and settings\\localservice\\svchost.exe - Trojan.Win32.Nosok.bk (DrWEB: Trojan.Alupko.14)
      7. c:\\program files\\mirc\\mirc.exe.bak - not-a-virus:Client-IRC.Win32.mIRC.631 (DrWEB: Program.mIRC.623)
      8. c:\\program files\\копия mirc\\mirc.exe.bak - not-a-virus:Client-IRC.Win32.mIRC.631 (DrWEB: Program.mIRC.623)
      9. c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1015\\svchost.exe - Trojan-Downloader.Win32.Injecter.aoi (DrWEB: Trojan.Recycle.13)
      10. c:\\windows\\dtseqrxk.dll - Trojan.Win32.Vapsup.llf (DrWEB: Trojan.Popuper.10900)
      11. c:\\windows\\evlw.exe - Trojan.Win32.Vapsup.llg (DrWEB: Trojan.Popuper.11026)
      12. c:\\windows\\mgxfebsq.dll - Trojan.Win32.Vapsup.llh (DrWEB: Trojan.Popuper.13093)
      13. c:\\windows\\system32\\cnrsovqe.dll - Trojan.Win32.Monder.pqu (DrWEB: Trojan.Virtumod.450)
      14. c:\\windows\\system32\\drivers\\services.exe - Trojan.Win32.Nosok.bk (DrWEB: Trojan.Alupko.14)
      15. c:\\windows\\system32\\earbvqgu.dll - HEUR:Trojan.Win32.Generic
      16. c:\\windows\\system32\\hggvvolb.dll - Trojan.Win32.Monderb.qum (DrWEB: Trojan.Virtumod.44
      17. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.exs (DrWEB: Trojan.Proxy.3211)
      18. c:\\windows\\system32\\smspkvgf.dll - Trojan-Banker.Win32.Banker.xvd
      19. c:\\windows\\system32\\tljjyhkd.dll - Trojan.Win32.Agent.adyl (DrWEB: Trojan.Virtumod.513)
      20. c:\\windows\\vmgspntbbtx.dll - Trojan.Win32.Vapsup.lli (DrWEB: Trojan.Fakealert.3282)


  • Уважаемый(ая) Ruslangg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на Trojan-PSW.Win32.Lmir.aid; Trojan.Win32.Vapsup.fyx; Keylogger!
      От Kotofei Kotofee в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:27
    2. Предположительно Trojan.Vapsup.fpn
      От Kashey в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 06:20
    3. Ответов: 16
      Последнее сообщение: 22.02.2009, 04:34
    4. подозрение на Advware.Win32.Vapsup.bsz
      От koltunov в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.06.2008, 06:31
    5. not-a-virus:AdWare.Win32.Vapsup.awu help to remove
      От mberryaz в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 17.02.2008, 23:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00207 seconds with 20 queries