Показано с 1 по 13 из 13.

Trojan.inject5512? помогите пожалуйста (заявка № 46192)

  1. #1
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    11
    Вес репутации
    32

    Thumbs up Trojan.inject5512? помогите пожалуйста

    нашел Curlit и убил, еще один троян нашел AVPTooll, AVZ и HiJack загрузились переименованными, вирусов не нашли к сожалению, а антивирусы, которые у меня есть возможность загрузить, касперский и avast устанавливаются, но не работают. что делать?? очень грустно мне
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Пока так: программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\xvidvfw.dll','');
     QuarantineFile('C:\WINDOWS\system32\yv12vfw.dll','');
     QuarantineFile('C:\windows\ld08.exe','');
    QuarantineFile('C:\WINDOWS\system32\1028u.exe','');
    BC_ImportquarantineList;
    BC_Activate;
    executerepair(9);
    RebootWindows(true);
    end.
    После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=46192 , как написано в прил.3 правил.
    Avast! стоял на этой машине?

  4. #3
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    11
    Вес репутации
    32
    Numb спасибо, скрипт выполнила, после перезагрузки Avast! загрузился нормально. Карантин отправила.
    Да, Avast! стоял, появилось предупреждение, о атаках с какого-то адреса (так бывает и я не испугалась ) а через какое-то время антивирус заругался, что пора бы зарегится и я повелась, сходила на сайт, номер лицензии полученной вбила,ту т он умер. Пробовала переустанавливать, ставить каспер - не помогало.
    Вирус блокировал антивирусные проги, другой активности не заметила.
    Что теперь делать? Подождем? Карантин очистить в AVZ?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
    Программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_USERS','.DEFAULTControl PanelIOProcs','MVB');
     RegKeyParamDel('HKEY_USERS','S-1-5-19Control PanelIOProcs','MVB');
     RegKeyParamDel('HKEY_USERS','S-1-5-20Control PanelIOProcs','MVB');
     RegKeyParamDel('HKEY_USERS','S-1-5-18Control PanelIOProcs','MVB');
     RegKeyParamDel('HKEY_CURRENT_USER','Control PanelIOProcs','MVB');
     DeleteFile('C:\WINDOWS\system32\1028u.exe');
     BC_DeleteFile('C:\WINDOWS\system32\1028u.exe');
     DeleteService('SENSRemoteAccess');
     BC_DeleteSvc('SENSRemoteAccess');
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки, повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    11
    Вес репутации
    32
    Спасибо, мой незнакомый друг! Новые логи перед запуском скрипта проверила ноут dr.wed lcd - не нашел ничего. меня напрягает немножко, что в активных процессах нахожу со вчерашнего дня wuauclt и spoollsv. авт.обновление у меня отключено и отключенным остается. AVZ находит перехватчиков и "успешно" нейтрализует код при каждом запуске пока писала на форум, avast! успел обновится, процесс был с PID 2168, теперь автоматическое обновление отключила
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Avast, если вы им собираетесь пользоваться дальше, и должен обновляться - не надо ему мешать.
    На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Пофиксите с помощью Hijackthis строчку:
    Код:
    O4 - HKLM\..\Run: [sysldtray] C:\windows\ld08.exe
    . Программа AVZ - файл - выполнить скрипт - выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\windows\System32\Drivers\Parport.SYS','');
    QuarantineFile('\SystemRoot\System32\Drivers\Parport.SYS','');
     DeleteFile('C:\windows\ld08.exe');
     BC_DeleteFile('C:\windows\ld08.exe');
    BC_ImportquarantineList;
    BC_Activate;
    ExecuteSysClean;
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('SSDPSRV', 4);
    RebootWindows(true);
    end.
    После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=46192 , как написано в прил.3 правил, и повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    11
    Вес репутации
    32
    привет, новые логи, а в карантине нет ничего. построение списка"установка и удаление программ " занимает целую вечность. небыло такого до "пришествия" вируса. цифра "4" в имени и процессах аваста появилась тоже после.
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    11
    Вес репутации
    32
    пробовала выполнить скрипт еще, файлы в карантин не добавляются, пробовала добавить по списку, автоматически - не их в карантине, в системе есть. автоматически добавился другой файл - он в карантине по ссылке. Файл сохранён как 090526_004425_virus_4a1b03290f39a.zip сохранила протокол, после выполнения скрипта, посмотрите
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Попробуйте две вещи: во-первых, если файл C:\windows\System32\Drivers\Parport.SYS в системе присутствует, скопируйте его руками, запакуйте в карантин с паролем virus и загрузите через форму загрузки карантина. Если вы файл не видите, попробуйте найти и поместить его в карантин, как написано здесь - http://virusinfo.info/showthread.php?t=17109
    Во-вторых, удалите Avast! через установку-удаление программ, посмотрите, уйдут ли проблемы со списком. Если уйдут, то можно заново скачать установочный дистрибутив - ссылка на актуальную русскую home-версию - и установить его заново. Если проблемы со списком останутся, повторите лог исследования системы без установленного антивируса.

  11. #10
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    11
    Вес репутации
    32
    Цитата Сообщение от Numb Посмотреть сообщение
    Если вы файл не видите,</b>
    я файл вижу, а AVZ нет. Свою карантинскую папку, после копирования туда файла, показывает как пустую, и не удаляет.
    загрузила: Файл сохранён как 090526_143742_virus_4a1bc676d8d9e.zip
    Последний раз редактировалось topastra; 26.05.2009 в 16:48.

  12. #11
    Junior Member Репутация
    Регистрация
    20.05.2009
    Сообщений
    11
    Вес репутации
    32
    проблема со списком осталась поле удаления антивируса
    позакрывала дырки, какие смогла,
    не пойму тольео,как закрыть доступ анониму, гиперссылки не вижу, или она не активна
    логи:
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Логи чистые. Вот этот скрипт
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RebootWindows(true);
    end.
    отключает доступ анонимного пользователя и административный доступ к локальным дискам. Закрывать вообще все следует только если это stand-alone домашняя машина, не подключенная ни к какой локальной сети. Если это рабочая станция в составе локальной сети, могут возникнуть проблемы с доступом к сетевым ресурсам.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\1028u.exe - Trojan.Win32.Inject.aapx ( DrWEB: BackDoor.IRC.Bot.114, BitDefender: Trojan.Waledac.CT )


  • Уважаемый(ая) topastra, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Win32.Ddocx.ci Помогите, пожалуйста.
      От Максим Кукушкин в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 19.08.2011, 13:00
    2. Помогите пожалуйста с Trojan.Win32.Ddox.ci
      От Egret в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.07.2011, 21:42
    3. Помогите пожалуйста Trojan-PSW.Win32.Kates.c
      От Olivsa в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.05.2009, 20:37
    4. Ответов: 8
      Последнее сообщение: 04.03.2009, 23:19
    5. Помогите пожалуйста поймал Trojan…
      От SEREG@ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.09.2008, 09:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01385 seconds with 17 queries