Показано с 1 по 5 из 5.

Удаление Trojan-Clicker.Win32.Costrat.gb (заявка № 43805)

  1. #1
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    3
    Вес репутации
    55

    Exclamation Удаление Trojan-Clicker.Win32.Costrat.gb

    Преамбула:
    Знакомый принес ноут с вирусами. Жалоба : "Не удается зайти ни в свой профиль, ни в профиль Администратора. Вводим пароль, появляется сообщение о загрузке параметров пользователя, показывается заставка рабочего стола, потом опять возникает приветственное окно и сообщение "Сохранение параметров" и виндовс выходит из учетной записи"
    Проблема оказалась в измененном параметре HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (C:\WINDOWS\system32\userinit.exe, было изменено на C:\WINDOWS\userinit.exe). Поправили, все загрузилось

    Теперь, собственно, амбула
    Почистил временные файлы, кэш браузера, отключил "Восстановление системы", загрузился в сэйф-моде, проверил Kaspersky Virus Removal Tool - все чисто. Загрузился в обычном режиме, установил Антивирус Касперского 2009 (пробную версию), обновил базы, перегрузился, запустил полную проверку и на тебе: Trojan-Clicker.Win32.Costrat.gb в System Memory. Предлагает удалить и перезагружает компьютер, но после перезагрузки - все по новой
    Проверил еще раз Kaspersky Virus Removal Tool - все чисто.
    AVZ с сегодняшними базами нашел вот такое:
    1.4 Поиск маскировки процессов и драйверов
    >> Маскировка драйвера: Base=AAA2F000, размер=131072, имя = "\systemroot\system32\drivers\senekamvwtsdrc.s ys"
    1.5 Проверка обработчиков IRP
    \FileSystem\FastFat[IRP_MJ_CREATE] = F77823B5 -> C:\WINDOWS\System32\drivers\1b00f326.sys
    \driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F7783207 -> C:\WINDOWS\System32\drivers\1b00f326.sys
    Файла senekamvwtsdrc.sys на винте не нашел (искал FAR-ом)
    Файл 1b00f326.sys есть, но удалить через "отложенное удаление" не удается
    Подскажите, плз, куда копать
    Логи AVZ и HiJackThis прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\1b00f326.sys','');
     QuarantineFile('\systemroot\system32\drivers\senekamvwtsdrc.sys','');
     DeleteFile('\systemroot\system32\drivers\senekamvwtsdrc.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\1b00f326.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=43805
    Если удалится, то после всего этого поправить реестр для служб wuauserv и BITS
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    3
    Вес репутации
    55
    Спасибо!

    Цитата Сообщение от PavelA Посмотреть сообщение
    Выполнить скрипт:
    -skipped-

    Сделать заново логи после перезагрузки.

    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=43805
    Скрипт выполнил
    Сделал+приложил логи
    С карантином не совсем разобрался :
    имеется файл virusinfo_cure.zip, размер 22 байта, при открытии winrar-ом - архив - пустой.
    При просмотре по F3 из FAR-а в файле 4 символа. Его так и слать или уже не надо?

    Цитата Сообщение от PavelA Посмотреть сообщение
    Если удалится, то после всего этого поправить реестр для служб wuauserv и BITS
    Все чисто
    Ща буду wuauserv лечить - с ней и вправду косяки какие-то
    Вложения Вложения
    Последний раз редактировалось jail; 14.04.2009 в 20:21.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах все в порядке.

    Рекомендуется установить SP3 + последующие обновления.

    Про wuauserv и BITS.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    14.04.2009
    Сообщений
    3
    Вес репутации
    55
    Цитата Сообщение от Bratez Посмотреть сообщение
    В логах все в порядке.
    Рекомендуется установить SP3 + последующие обновления.
    Про wuauserv и BITS.
    Bratez, спасибо!

    Поправил, как Вы и советовали, в реестре ImagePath с %fystemRoot% на %systemRoot% , но Автоматическое обновление и BITS так и не запустились
    SP3 тоже ставиться не захотел - "отказано в доступе". По логам выяснил, что при попытке ручного запуска BITS и wuauserv, получаем ошибку 7028 от Service Control Manager "В раделе реестра wuauserv запрещен доступ к программам учетной записи SYSTEM, поэтому владельцем раздела стал диспетчер служб".
    И вправду, после ручной смены разрешений на
    HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\BITS и
    HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\wuauserv
    все заработало!

    Еще раз спасибо всем откликнувшимся!

  • Уважаемый(ая) jail, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan-Clicker.Win32.Costrat.gb
      От oosetr в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 04.08.2009, 12:52
    2. Trojan-Clicker.Win32.Costrat.gb
      От NEVOPROS в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.08.2009, 00:37
    3. Срочно!Trojan-Clicker.Win32.Costrat.gb
      От BabyPanda в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.07.2009, 09:00
    4. Срочно!Trojan-Clicker.Win32.Costrat.gb
      От BabyPanda в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 18.07.2009, 01:34
    5. Trojan-Clicker.Win32.Costrat.gb или уже его нет?
      От Atty в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 14.07.2009, 15:50

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00239 seconds with 20 queries