Показано с 1 по 5 из 5.

Есть подозрение на вирус. (заявка № 47121)

  1. #1
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    20
    Вес репутации
    32

    Exclamation Есть подозрение на вирус.

    Добрый день!
    Касперский со свежими базами находит "Heur.Trojan.Generic" Модуль:WinCts32.exe\WinCts32.exe
    CureIT не определяет никак.
    netstat показывает постоянно окрытое соединение на 78.129.158.88 порт 9595 (иногда 1863) и соединения на 192.168.*.*:microsoft-ds
    ipconfig
    192.168.1.2 255.255.255.0
    192.168.1.1 - шлюз и DNS.
    Все пингуется и по IP, и по доменному имени.
    IE при попытке зайти на сайты выдает: "Не удалось отобразить страницу поиска"
    FireFox вообще молчит.
    На диски пишется файл autorun.inf со следующим содержанием.

    [autorun]
    open=driver\usb\–ђЃј‡‘Љ•†‘НЂЊЋ
    action=Open
    shell\open=Open
    shell\open\command=driver\usb\–ђЃј‡‘Љ•†‘НЂЊЋ
    Usb_Driver installed

    Логи добавляю. Пароль - virus
    Буду благодарен за помощь.
    Вложения Вложения
    • Тип файла: zip logs.zip (37.0 Кб, 4 просмотров)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('H:\driver\usb\\u2013\u0452\u0403\u0458\u2021\u2018\u0409\u2022\u2020\u2018\u041d\u0402\u040a\u040b','');
     QuarantineFile('H:\autorun.inf','');
     QuarantineFile('WinCon.exe','');
     QuarantineFile('D:\Program Files\Archivarius 3000\Archivarius3000.exe','');
     QuarantineFile('D:\Documents and Settings\1\\u0413\u043b\u0430\u0432\u043d\u043e\u0435 \u043c\u0435\u043d\u044e\\u041f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b\\u0410\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430\key.bat','');
     QuarantineFile('d:\docume~1\1\locals~1\temp\Program.exe','');
     QuarantineFile('d:\windows\wincts32.exe','');
     QuarantineFile('d:\windows\winamp1.exe','');
     DeleteFile('d:\docume~1\1\locals~1\temp\Program.exe');
     DeleteFile('d:\windows\winamp1.exe');
     DeleteFile('d:\windows\wincts32.exe');
     DeleteFile('H:\autorun.inf');
     DeleteFile('H:\driver\usb\\u2013\u0452\u0403\u0458\u2021\u2018\u0409\u2022\u2020\u2018\u041d\u0402\u040a\u040b');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

    2.Повторить логи. Только архивировать их не надо.
    Просто приложить 3 файла
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    20
    Вес репутации
    32
    Прикрепил.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от harwid Посмотреть сообщение
    Касперский со свежими базами .
    Да 10 раз свежие базы: у Вас система - решето
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [WinCts] WinCts32.exe
    O4 - HKLM\..\Run: [Windows Data Serivce] winamp1.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('WinCts32.exe');
     DeleteFile('WinCon.exe');
     DeleteFile('winamp1.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','MicroMix32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCts');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','WinCts');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 04.06.2009 в 09:07. Причина: Добавлено

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. h:\driver\usb\–ђѓј‡‘љ•†‘нђњћ - Trojan.Win32.VB.qyl


  • Уважаемый(ая) harwid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Есть подозрение, что вирус
      От JuliaC в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.09.2011, 17:27
    2. Есть подозрение на вирус
      От BullDoZZer в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.01.2011, 16:40
    3. Есть подозрение на вирус
      От usercoderz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.09.2010, 00:19
    4. Есть подозрение что есть вирус
      От expe в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.04.2009, 10:10
    5. Подозрение, что есть вирус.
      От rusenemy в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.06.2008, 00:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00661 seconds with 17 queries