Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Атака троянов на ноутбук [Backdoor.Win32.Zdoogu.j, , Trojan-Ransom.Win32.Hexzone.agn ] (заявка № 37318)

  1. #1
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38

    Question Атака троянов на ноутбук [Backdoor.Win32.Zdoogu.j, , Trojan-Ransom.Win32.Hexzone.agn ]

    Добрый день!
    Ноутбук атаковали вирусы. McAfee обнаружил New Poly Win32 (файл не может быть вылечен, удален или перемещен).
    Начали диагностику по вашей схеме.
    CureIt! обнаружилTrojan DownLoader (неизлечим). После выполнения первого скрипта AVZ и соответствующей перезагрузки автоматически включился McAfee и после попытки удалить зараженный файл началось следующее: при открытии любого окна Интернета посередине страницы появлялась так называемая «новостная лента», которую никак невозможно удалить (с предложением отправить sms на указанный номер).
    На форум virusinfo вход стал возможен только после повторной проверки CureIt! (снова обнаружил пару троянов - вылечить не удается, предлагает только move).

    Как с этим бороться? Очень не хотелось бы переустанавливать Windows – на ноутбуке он был предустановлен, диска не прилагалось.

    И еще: не уверены, что AVZ получил именно те файлы, которые нужно, ибо скачался он в англоязычном варианте (русский шрифт не читается), поэтому выполнили те скрипты, которые подходят по смыслу перевода. Если нужно выполнить другое, сообщите, пожалуйста, если нетрудно, их английские варианты или же номера скриптов.

    Очень надеемся на вашу помощь!
    Последний раз редактировалось Morwane; 04.04.2010 в 17:01.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Установите AVZPM и сделайте логи...

  4. #3
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38
    Сделали.
    Тока после проверки AVZ создает три зипованных архива: virusinfo_syscure, virusinfo_cure и virusinfo_files_TOSHIBA-USER. Два последних по 7 с лишним Мб, и они превышают лимит.
    Мы что-то делаем не так?
    Последний раз редактировалось Morwane; 02.12.2009 в 21:34.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    все выполняется (и логи в том числе) в нормальном режиме ...
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('%Windir%\expmodule.exe');
     QuarantineFile('C:\WINDOWS\system32\3342392367003512451966553736700353670035.exe','');
     QuarantineFile('C:\WINDOWS\system32\1703995386663891751713107338666383866638.exe','');
     QuarantineFile('digeste.dll','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     DeleteService('oryadwikuanvg');
     QuarantineFile('C:\WINDOWS\system32\drivers\rckutnsq.sys','');
     QuarantineFile('C:\WINDOWS\system32\wmmest.dll','');
     DeleteFile('C:\WINDOWS\system32\wmmest.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\rckutnsq.sys');
     DeleteFile('C:\WINDOWS\system32\1703995386663891751713107338666383866638.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38
    Скрипт выполнили. Пропали ВСЕ значки с рабочего стола.
    С трудом вышли в Интернет.
    Что делать?! Можно ли как-то откатить назад?

    Карантин отправлен.
    Последний раз редактировалось Morwane; 14.01.2009 в 00:57.

  7. #6
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38
    Логи.
    Последний раз редактировалось Morwane; 02.12.2009 в 21:34.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Карантин в теме - это моветон.

  9. #8
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38
    Как в теме?
    Карантин был отправлен, как указано в Правилах: "используя ссылку на страницу загрузки (Прислать запрошенный карантин) в шапке Вашей темы".

    А по поводу третьего архива мы спрашивали еще в первом посте: AVZ у нас на английском, выполняли №3 и №4. Повторяю вопрос: если мы выполняем (и отсылаем) не тот скрипт, укажите, пожалуйста, как делать правильно.

    ПОЖАЛУЙСТА, помогите! Выполнено все, что вы просили. В итоге на рабочем столе абсолютно все пропало.

    Добавлено через 3 часа 2 минуты

    Что нам делать дальше?!

    Пришел ли карантин (там очень много файлов, работоспособность ноутбука нарушена)?
    Последний раз редактировалось Morwane; 14.01.2009 в 17:17. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('digeste.dll');
     DeleteFile('C:\System Volume Information\_restore{BC554F74-5213-4B02-B93C-494AF5486CCD}\RP1\A0000009.exe');
     DeleteFile('C:\WINDOWS\system32\3342392367003512451966553736700353670035.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('oryadwikuanvg');
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Повторите логи.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38
    Bratez, спасибо.
    Подскажите, пожалуйста, как отключить восстановление системы.
    Повторюсь - у нас пропала кнопка Пуск и все значки с рабочего стола. Есть только Диспетчер задач (в нем поискали - возможности отключить восстановление не нашли).
    Последний раз редактировалось Morwane; 14.01.2009 в 18:43.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от Morwane Посмотреть сообщение
    Подскажите, пожалуйста, как отключить восстановление системы
    Ctrl-Alt-Del (Диспетчер задач) - Файл - Новая задача - sysdm.cpl
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38
    Дальше - круче!
    Сделали еще одну попытку. Вошли в Диспетчер задач, нажали на Мой компьютер правой кнопкой и попытались открыть Проводник. Попытка была безуспешной. НО! После этого восстановились значки и появилась кнопка Пуск. Что это было?!.

    Нужно ли выполнять в данной ситуации предложенный вами скрипт? Или сделать что-то другое?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Скрипт выполняйте, потом новые логи.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38
    Выполнили скрипт. После перезагрузки снова на рабочем столе значки не появились. Вернули их так же, как в предыдущей попытке.
    Кстати, при этой операции появляется окошко: «Windows не удалось найти ‘/e,/idlist,:708:2216,’ (в другом варианте: e,/idlist,:656:2560,’). Проверьте, что имя было введено правильно, и повторите попытку».

    Логи прилагаю. К сожалению, AVZ по-прежнему не создает архив virusinfo_syscheck (возможные причины изложены выше).
    Последний раз редактировалось Morwane; 04.04.2010 в 17:01.

  16. #15
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38
    Что нам еще нужно предпринять?

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    подождем ответ на присланный карантин

  18. #17
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38
    Добрый день! Что там с нашим карантином?

    Добавлено через 2 часа 52 минуты

    Еще такой вопрос: ноутбук длительное время не был подключен к Интернету. Теперь Windows предлагает установить много обновлений.
    Стоит ли их сейчас устанавливать, или лучше подождать окончания лечения?
    Последний раз редактировалось Morwane; 15.01.2009 в 13:24. Причина: Добавлено

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Установите...

  20. #19
    Junior Member Репутация
    Регистрация
    31.10.2007
    Сообщений
    149
    Вес репутации
    38
    Уже устанавливаем.

    А что там с нашим карантином?

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Пока ничего...

  • Уважаемый(ая) Morwane, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. атака троянов + monoca32.exe
      От belle в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.08.2010, 13:37
    2. Атака троянов
      От antonina-club в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.02.2009, 01:15
    3. Атака троянов [Trojan.Win32.Antavmu.bfd ]
      От charly_aen в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:43
    4. атака троянов:((((
      От Сашик в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.11.2007, 23:24
    5. Атака троянов
      От Av64 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 08.10.2007, 10:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01520 seconds with 16 queries