Показано с 1 по 20 из 20.

Trojan.Fakealert.1321 (заявка № 30244)

  1. #1
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    14
    Вес репутации
    35

    Trojan.Fakealert.1321

    Доброго времени суток!

    Некоторое время назад во время отсутствия антивирусных программ компьютер был заражен. Затем почищен CureIt. После установки Касперского перестала работать сеть. Удалил Касперского 7.0 - сеть заработала, но через некоторое время на рабочем столе появилась заставка, предупреждающая о наличии вирусов в системе и призывающая обновить антивирусное обеспечение, нажав кнопку на заставке. При проверке CureIt компьютер перезагружается. В безопасном режиме находит трояна, удаляет. Но при перезагрузке зловред пояляется снова.

    При попытке выполнить стандартный скрипт AVZ лечения/сбора информации компьютер перезагрузился.
    Последний раз редактировалось Nor-man; 16.09.2008 в 08:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    почему логи в SafeMode ? все ! выполняется в нормальнои режиме если не было иных указаний ....
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\twext.exe','');
     QuarantineFile('C:\WINDOWS\system32\lphc1fdj0etdm.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\msauc.exe','');
     QuarantineFile('C:\WINDOWS\iexplorer.exe','');
     QuarantineFile('C:\WINDOWS\BQCGHQKO.exe','');
     DeleteService('winmgmtNtLmSsp');
     DeleteService('winmgmtNetDDEdsdm');
     DeleteService('TapiSrvstisvc');
     DeleteService('RasAutoBITS');
     DeleteService('NetDDESwPrv');
     DeleteService('msupdate');
     DeleteService('EventSystemWmiApSrv');
     DeleteService('AppMgmtamupdsvc');
     QuarantineFile('c:\windows\system32\vhosts.exe','');
     QuarantineFile('srv.exe','');
     DeleteFile('srv.exe');
     DeleteFile('c:\windows\system32\vhosts.exe');
     DeleteFile('C:\WINDOWS\BQCGHQKO.exe');
     DeleteFile('C:\WINDOWS\iexplorer.exe');
     DeleteFile('C:\WINDOWS\msauc.exe');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\blphc1fdj0etdm.scr');
     DeleteFile('C:\WINDOWS\system32\lphc1fdj0etdm.exe');
     DeleteFile('C:\WINDOWS\system32\twext.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    14
    Вес репутации
    35
    Спасибо за помощь. После выполнения скрипта заставка с рабочего стола исчезла. При попытке проверки/лечения CureIt компьютер перезагружается, при попытке выполнения стандартного скрипта AVZ лечения/сбора информации компьютер перезагружается. После выполнения скрипта AVZ сбора информации файл лога имеет несколько странное название virusinfo_files_GARIK.zip, размер 1 390 байт и не подгружается к сообщению на форуме с комментарием: не хватает места...
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Nor-man Посмотреть сообщение
    После выполнения скрипта AVZ сбора информации файл лога имеет несколько странное название virusinfo_files_GARIK.zip, размер 1 390 байт и не подгружается к сообщению на форуме с комментарием: не хватает места...
    Закачайте на файлообменник и дайте ссылку тут.

  6. #5
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    14
    Вес репутации
    35
    ссылка на карантин удалена
    Последний раз редактировалось Rene-gad; 16.09.2008 в 18:47.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Nor-man Посмотреть сообщение
    У меня не скачивается... Ошибка сервера.
    Последний раз редактировалось Rene-gad; 16.09.2008 в 18:47.

  8. #7
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    14
    Вес репутации
    35
    Скачивается. К сожалению, сервер разрешает скачивание только после 30 секунд "просмотра" рекламы. Дайте, пожалуйста, ссылку на какой-нибудь другой файлообменный сервер...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Nor-man Посмотреть сообщение
    Дайте, пожалуйста, ссылку ...
    Я ща по шее дам Это - карантин, его - сюда: http://virusinfo.info/upload_virus.php?tid=30244
    ЛОГИ - ПРИКРЕПИТЕ К СООБЩЕНИЮ
    ЧИТАЙТЕ ПРАВИЛА ГРОМКО ВСЛУХ

  10. #9
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    14
    Вес репутации
    35
    Закачал по указанной ссылке. Файл сохранён как 080916_105935_virusinfo_files_GARIK_48cfd7e7ef4b3. zip
    Какие данные еще нужны?
    Вложения Вложения
    Последний раз редактировалось Nor-man; 16.09.2008 в 19:00.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    где еще два лога ?

  12. #11
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    14
    Вес репутации
    35
    Цитата Сообщение от Nor-man Посмотреть сообщение
    При попытке проверки/лечения CureIt компьютер перезагружается, при попытке выполнения стандартного скрипта AVZ лечения/сбора информации компьютер перезагружается.
    файл virusinfo_files_GARIK.zip залит по ссылке http://virusinfo.info/upload_virus.php?tid=30244 080916_105935_virusinfo_files_GARIK_48cfd7e7ef4b3. zip
    Последний раз редактировалось Nor-man; 16.09.2008 в 21:45. Причина: Добавление лога AVZ

  13. #12
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    14
    Вес репутации
    35
    Извините, второй лог получился...
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    читайте правила ... там есть порядок выполнения логов и вперед по пунктам ...заново

  15. #14
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    14
    Вес репутации
    35
    Цитата Сообщение от V_Bond Посмотреть сообщение
    читайте правила ... там есть порядок выполнения логов и вперед по пунктам ...заново
    1. В безопасном режиме - чистка CureIt, перезагрузка
    2. Отключение сети, отключение восстановления системы, стандартный скрипт AVZ №3, презагрузка
    3. Стандартный скрипт AVZ №2, включение сети, отсылка логов
    Вложения Вложения

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Восстановление точно отключили?

    Код:
    Восстановление системы: включено
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\Drivers\dwshd.sys ',' ');
     DeleteFile('C:\WINDOWS\system32\Drivers\dwshd.sys');
     BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин и повторите логи...

  17. #16
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    14
    Вес репутации
    35
    [quote=Гриша;289028]Восстановление точно отключили?

    Код:
    Восстановление системы: включено
    Галка вроде стоит...
    Вложения Вложения

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Вот теперь отключено,в логах чисто,жалобы есть?

  19. #18
    Junior Member Репутация
    Регистрация
    15.09.2008
    Сообщений
    14
    Вес репутации
    35
    Цитата Сообщение от Гриша Посмотреть сообщение
    Вот теперь отключено,в логах чисто,жалобы есть?
    После установки AVP опять сеть слетела... Настройки TCP/IP сделаны вручную, но в состоянии подключения нет НИЧЕГО. При попытке исправить пишет: "Не удается получить параметры протокола TCP/IP Для этого соединения"

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Хмм, может задать этот вопрос здесь http://forum.kaspersky.com/index.php?showforum=8 ?

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\iexplorer.exe - Worm.Win32.AutoRun.ntb (DrWEB: Trojan.DownLoad.4201)
      2. c:\\windows\\msauc.exe - Trojan.Win32.Pakes.kmm (DrWEB: Trojan.PWS.ICQSniff.25)
      3. c:\\windows\\services.exe - Trojan.Win32.Pakes.kma (DrWEB: Trojan.Spambot.3531)
      4. c:\\windows\\system32\\drivers\\nsvslrus.sys - Trojan.Win32.Pakes.kmn (DrWEB: Trojan.Sentinel.based)
      5. c:\\windows\\system32\\lphc1fdj0etdm.exe - Backdoor.Win32.Frauder.fk (DrWEB: Trojan.Packed.636)
      6. c:\\windows\\system32\\twext.exe - Trojan-Spy.Win32.Zbot.exy (DrWEB: Trojan.PWS.Panda.12)
      7. c:\\windows\\system32\\vhosts.exe - Trojan.Win32.Agent.aeal (DrWEB: Trojan.Inject.3842)


  • Уважаемый(ая) Nor-man, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. BackDoor.Tdss, Trojan.Starter, Trojan.Packed, и Trojan.FakeAlert
      От Stewart little в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.04.2009, 12:05
    2. Ответов: 4
      Последнее сообщение: 23.04.2009, 11:51
    3. Trojan Fakealert 350 и trojan.proxy.1739
      От AlexanderL в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:16
    4. Ответов: 4
      Последнее сообщение: 14.09.2008, 22:02
    5. Trojan.Fakealert.1228+BackDoor.Bulknet.225+Trojan. Packed.619
      От Rlumiur в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.09.2008, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00050 seconds with 17 queries