Показано с 1 по 13 из 13.

Вражина в системе? (заявка № 47907)

  1. #1
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32

    Thumbs up Вражина в системе?

    Добрый день.
    У меня вот такая проблема. Сначала я заметил, что у меня в корне дисков плодятся autorun.inf, поэтому и решил заняться проверкой системы. Сначала Каспер (8.0.0.454) у меня ничего не находил, но позже начал находить Trojan-Downloader.Win32.Small.jqv, Trojan.Win32.Agent2.kma (а также на конце agent.clxm.), а также Trojan-Downloader.Win32.FraudLoad.epp, и один раз нашел подобное BackDoor.Tdss.119 (я по началу не обратил на это внимания, поэтому точно не помню какой там в конце был номер). Теперь он не находит ничего. Я провел полную проверку в защищенном режиме (drweb cure it), тоже ничего не дало. Тогда я создал PE диск и провел проверку загружаясь с него. В папке RECYCLER был обнаружен BackDoor.Tdss.119, причем на всех дисках, т.к. я его уже от дуда удалял думаю в моей системе до сих пор живет какая-то вражина.
    Пожалуйста помогите разобраться.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Выполните скрипт:

    Код:
    begin
     SetAVZPMStatus(true);
     RebootWindows(true);
    end.
    Повторите логи...
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32
    Выполнил.

    Хочу еще добавить, если попытаться отключить Адаптер по которому выхожу в инет то теперь пишет: "Невозможно отключить адаптер в данный момент. Возможно, данное подключение один из протоколов, которые не поддерживают "Plug-and-play", либо оно было инициировано другим пользователем или системной учетной записью". Но совсем недавно все отключалось нормально.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 14.06.2009 в 20:03.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    -Пофиксите
    Код:
    O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.140,85.255.112.132
    O17 - HKLM\System\CS1\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.140,85.255.112.132
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.19,85.255.112.120
    O17 - HKLM\System\CS2\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.19,85.255.112.120
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.112,85.255.112.212
    O17 - HKLM\System\CS3\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.112,85.255.112.212
    O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.63,85.255.112.87
    O17 - HKLM\System\CS4\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.63,85.255.112.87
    O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.110,85.255.112.229
    O17 - HKLM\System\CS5\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.110,85.255.112.229
    O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.112.25,85.255.112.165
    O17 - HKLM\System\CS6\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.25,85.255.112.165
    O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.226,85.255.112.96
    O17 - HKLM\System\CS7\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.226,85.255.112.96
    O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.112.120,85.255.112.83
    O17 - HKLM\System\CS8\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.120,85.255.112.83
    O17 - HKLM\System\CS9\Services\Tcpip\Parameters: NameServer = 85.255.112.122,85.255.112.154
    O17 - HKLM\System\CS9\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.122,85.255.112.154
    O17 - HKLM\System\CS11\Services\Tcpip\Parameters: NameServer = 85.255.112.170,85.255.112.235
    O17 - HKLM\System\CS11\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.170,85.255.112.235
    O17 - HKLM\System\CS14\Services\Tcpip\Parameters: NameServer = 85.255.112.75,85.255.112.95
    O17 - HKLM\System\CS14\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.75,85.255.112.95
    O17 - HKLM\System\CS15\Services\Tcpip\Parameters: NameServer = 85.255.112.121,85.255.112.123
    O17 - HKLM\System\CS15\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.121,85.255.112.123
    O17 - HKLM\System\CS16\Services\Tcpip\Parameters: NameServer = 85.255.112.132,85.255.112.188
    O17 - HKLM\System\CS16\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.132,85.255.112.188
    O17 - HKLM\System\CS17\Services\Tcpip\Parameters: NameServer = 85.255.112.87,85.255.112.195
    O17 - HKLM\System\CS17\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.87,85.255.112.195
    O17 - HKLM\System\CS18\Services\Tcpip\Parameters: NameServer = 85.255.112.121,85.255.112.123
    O17 - HKLM\System\CS18\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.121,85.255.112.123
    O17 - HKLM\System\CS19\Services\Tcpip\Parameters: NameServer = 85.255.112.166,85.255.112.67
    O17 - HKLM\System\CS19\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.166,85.255.112.67
    O17 - HKLM\System\CS20\Services\Tcpip\Parameters: NameServer = 85.255.112.5,85.255.112.107
    O17 - HKLM\System\CS20\Services\Tcpip\..\{25D1990D-E4B7-4597-855C-416703CB6986}: NameServer = 85.255.112.5,85.255.112.107
    - Выполните скрипт
    Код:
    begin
     QuarantineFile('C:\DOCUME~1\Vithin\LOCALS~1\Temp\gAGP440p.sys','');
    end.
    - Очистите темп-папки, кэш проводников и корзину.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8

    Если вышеописанные процедуры не помогут
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

  6. #5
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32
    Извините, я после перезагрузки (после фикса в HiJack), сбился с порядком действий и сначала очистил темп папки, а уже потом запустил скрипт. Поэтому карантина у меня нету.

    По моему не помогло. Только что запустил Каспера на проверку папки RECYCLER на диске Е: он ничего не нашел, но Cure It под ЛайфСд в той же папке находит BackDoor.Tdss.119 7-8 копий.

    Зато теперь я могу отключаться от сети не только выдергиванием шнурка, но и програмно.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 14.06.2009 в 23:25.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Vtii Посмотреть сообщение
    Только что запустил Каспера на проверку папки RECYCLER на диске Е: он ничего не нашел, но Cure It под ЛайфСд в той же папке находит BackDoor.Tdss.119 7-8 копий.
    Диск Е - не системный, в логах не фигурирует. Отключите RECYCLER на диске Е:
    Цитата Сообщение от Paul
    Пуск - Выполнить - cmd

    На NTFS: rd /s e:\recycler

    Будет вопрос - 'Вы уверены, что хотите удалить Корзину?' Выбираем 'Y', и перезагрузим комп.
    Так как корзина системный файл, новая корзина создаётся после перезагрузки.

    P.S.:
    RD /s = удалить все файлы и папки, включая корневую папку
    RD = DELTREE
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('gAGP440p');
     StopService('aswArKrn');
     QuarantineFile('C:\DOCUME~1\Vithin\LOCALS~1\Temp\aswArKrn.sys','');
     QuarantineFile('C:\DOCUME~1\Vithin\LOCALS~1\Temp\gAGP440p.sys','');
     DeleteFile('C:\DOCUME~1\Vithin\LOCALS~1\Temp\gAGP440p.sys');
     DeleteFile('C:\DOCUME~1\Vithin\LOCALS~1\Temp\aswArKrn.sys');
     DeleteService('aswArKrn');
     DeleteService('gAGP440p');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc(('aswArKrn');
    BC_DeleteSvc(('gAGP440p');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32
    Вот такой вот результат.
    Карантин выслал.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксить строчку забыли?
    В остальном все в порядке.
    Какие-то проблемы остались?
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32
    Нет, на этот раз я ничего не забыл. Действовал четко по пунктам.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Bratez Посмотреть сообщение
    В остальном все в порядке.
    Какие-то проблемы остались?

  12. #11
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32
    Обязательно отпишусь, когда Вэбером под ЛайфСД диск С проверю.

    Добавлено через 8 часов 16 минут

    Вроде все нормально. Спасибо за оказанную помощь. Отдельное спасибо за оперативность.

    А на эту фигню забить?
    O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
    Добавлено через 31 секунду

    Вроде все нормально. Спасибо за оказанную помощь. Отдельное спасибо за оперативность.

    А на эту фигню забить?
    O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
    Последний раз редактировалось Vtii; 15.06.2009 в 18:11. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Vtii Посмотреть сообщение
    А на эту фигню забить?
    Да. Тут см. инфу.

    Цитата Сообщение от Vtii Посмотреть сообщение
    Спасибо за оказанную помощь. Отдельное спасибо за оперативность.
    Спасибо у нас нажимают
    Последний раз редактировалось Rene-gad; 15.06.2009 в 18:14. Причина: Добавлено

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Vtii, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 22.06.2011, 20:52
    2. Что то не то в системе
      От Mielofon в разделе Помогите!
      Ответов: 43
      Последнее сообщение: 23.01.2011, 18:33
    3. отчет о системе
      От семилунария в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.10.2009, 21:20
    4. что-то живёт в системе
      От delart в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 16.09.2009, 10:25
    5. Не пойму- опять, похоже, вражина пробрался!
      От Тошкин в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 01:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00984 seconds with 17 queries