Показано с 1 по 15 из 15.

После вируса Trojan.Download.24465 (заявка № 41872)

  1. #1
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    Абакан
    Сообщений
    48
    Вес репутации
    35

    Thumbs up После вируса Trojan.Download.24465

    Опять подхватил трояна. Полечил и сделал полную проверку программой Dr. Web CureIt!
    Посмотрите, пожалуйста, информацию от AVZ и HijackThis:

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     TerminateProcessByName('c:\documents and settings\sau0001\5591');
     QuarantineFile('c:\documents and settings\sau0001\5591','');
     DeleteFile('c:\documents and settings\sau0001\5591');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
    BC_Importall;
     BC_DeleteSvc('systemntmi');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=41872
    Повторите логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    Абакан
    Сообщений
    48
    Вес репутации
    35
    Спасибо!
    Скрипт выполнил, карантин загрузил.

    И повторяю логи:
    Последний раз редактировалось Rene-gad; 17.03.2009 в 12:32.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\sau0001\2229.exe');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     QuarantineFile('c:\documents and settings\sau0001\2229.exe','');
     DeleteFile('c:\documents and settings\sau0001\2229');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    Абакан
    Сообщений
    48
    Вес репутации
    35
    Спасибо, всё сделал. Карантин закачал. Прилагаю логи:

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Обновите базы АВЗ!!!

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\sau0001\3710.ехе');
     QuarantineFile('c:\documents and settings\sau0001\3710.ехе','');
     DeleteFile('c:\documents and settings\sau0001\3710.ехе');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    Абакан
    Сообщений
    48
    Вес репутации
    35
    Спасибо! К сожалению, я не смогу сейчас это проделать, потому что нахожусь на работе, и пробуду здесь ещё часов пять. Но по возвращении домой продолжу чистку.
    Я хотел бы здесь только сообщить, что я посмотрел FAR'ом папку c:\documents and settings\sau0001\, которая фигурирует в скриптах. И вот что я могу сказать. Там нет файлов с расширением .exe, зато есть с десяток однородных файликов, которые именуются четырёхзначными числами без никакого расширения. И ещё: я не создавал на компьютере пользователя sau0001, хотя и использовал такой ник на одном сайте. Может быть, мне просто снести совсем эту папку? Такое впечатление, что эта папка используется зловредом для временного создания этих экзешников, а сам он расположен где-то в другом месте. Или, может быть, прислать в карантине эти файлы, чтобы по ним распознать, какая зараза там сидит? А она, боюсь, всё-таки где-то сидит, потому что траффик через две-три минуты начинает быстро расти, даже если я ничего не делаю в сети.
    В общем, буду благодарен за любой совет. Или, вернувшись домой, сделаю всё, что Вы предложили.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Точно нет такого пользователя?
    Пуск- Выполнить- Control userpasswords2
    Посмотрите.
    Карантин пришлите, как писалось ранее.

  10. #9
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    Абакан
    Сообщений
    48
    Вес репутации
    35
    Спасибо, дома проверю. Но не должно быть такого пользователя. Комп домашний, кроме меня, им никто не пользуется, вообще при загрузке никакого пользователя не спрашивает. Откуда он взялся?
    Карантин сделаю и всё остальное, конечно.

  11. #10
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    Абакан
    Сообщений
    48
    Вес репутации
    35
    Обновить базы данных AVZ не удалось. При попытке выдало:
    Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip c http://www.z-oleg.com/secur/avz_up/ [21, 00000002]
    При выполнении скрипта было красным что-то вроде "Ошибка карантина файла...", дальше не успел прочитать, потому что наступила перезагрузка.
    Логи делал без обновления базы.
    При выполнении Control userpasswords2 выдало, что на машине три пользователя:
    User
    Администратор
    Гость
    Пользователя с именем sau0001 нет. В директории c:\documents and settings\sau0001\ продолжает увеличиваться количество файлов с названием из трёх или четырёх цифр, без расширения, все одинаковой длины - 20123.
    Траффик бешено растёт сразу после подключения к интернету.
    Я в панике.

    Не дождавшись здесь никакой реакции на последнее письмо, с отчаяния принялся экспериментировать. Вот что выяснилось:
    В папке C:\WINDOWS\system32\drivers\ регулярно появляется какой-нибудь *.sys, который на поверку оказывается трояном Trojan.Download.24465.
    После лечения программой Dr. Web CureIt! он исчезает, но через некоторое время опять появляется.
    При выполнение скрипта лечения/карантина в списке процессов обязательно имеется запись c:\documents and settings\sau0001\хххх, где хххх - какое-нибудь число. И такой файл действительно имеется в этой папке.
    Если его удалить командой скрипта DeleteFile('c:\documents and settings\sau0001\хххх');
    после перезагрузки в этой папке обязательно появляется новый хххх, теперь уже это другое число, но файл обязательно есть.
    И это - заколдованный круг.
    Что делать?
    Последний раз редактировалось Rene-gad; 19.03.2009 в 10:16.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('systemntmi');
     DeleteService('systemntmi');
     TerminateProcessByName('c:\documents and settings\sau0001\868');
     DeleteFile('c:\documents and settings\sau0001\868');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFileMask('c:\documents and settings\sau0001', '*.*', true);
     DeleteFileMask('%Tmp%', '*.*', true);
    BC_ImportDeletedList;
     BC_DeleteSvc('systemntmi');
    ExecuteSysClean;
    BC_Activate;
     SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    Сделайте полную проверку AVPTool.
    Логи повторите.
    Последний раз редактировалось light59; 20.03.2009 в 11:36.

  13. #12
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    Абакан
    Сообщений
    48
    Вес репутации
    35
    Кажется, мы победили зловреда. Огромный Вам спасиб! У меня не получалось качать Касперского, потому что из-за вредных деяний вируса меня периодически блокировал и отключал от сети провайдер. Всё-таки я скачал программу в другом месте. Провёл шесть или восемь итераций, Касперский нашёл больше десятка гнездовий вируса, всех их замочил, вот что мы имеем в результате:

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Ничего зловредного в логах нет.

    Выполните скрипт в AVZ:

    Код:
    begin
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}');
     DelBHO('{59A861EE-32B3-42cd-8CCA-FC130EDF3A44}');
    end.
    Сердце решает кого любить... Судьба решает с кем быть...

  15. #14
    Junior Member Репутация
    Регистрация
    18.07.2008
    Адрес
    Абакан
    Сообщений
    48
    Вес репутации
    35
    Спасибо!!!! Ваше сообщение - как пение соловья в майскую ночь!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\sau0001\5591 - Worm.Win32.Small.bb ( BitDefender: Trojan.Dropper.Kobcka.Gen.1 )
      2. c:\windows\system32\drivers\ati64si.sys - Rootkit.Win32.Agent.gvv ( DrWEB: Trojan.DownLoad.24465, BitDefender: Trojan.Inject.TZ )
      3. c:\windows\system32\drivers\systemntmi.sys - Rootkit.Win32.Agent.gvv ( DrWEB: Trojan.DownLoad.24465, BitDefender: Trojan.Inject.TZ )


  • Уважаемый(ая) Vlad_Bor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 18.05.2012, 17:38
    2. Ответов: 2
      Последнее сообщение: 13.07.2011, 12:03
    3. После вируса Trojan.PWS.Panda.114
      От Игорь Н. в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 01.09.2009, 17:38
    4. Промблема после удаления вируса Trojan.Sespy
      От AlexSh в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.08.2007, 09:48
    5. Востановить систему после вируса Trojan.Sespy
      От AlexSh в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.08.2007, 15:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00733 seconds with 16 queries