Показано с 1 по 11 из 11.

Win32/Injector.QA троян (заявка № 47942)

  1. #1
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32

    Thumbs down Win32/Injector.QA троян

    Помогите, пожалуйста, убить трояна Win32/Injector.QA.

    Nod32 (постоянно обновляется через интернет) выдает со средней периодичностью раз в 10-15 минут 3 сообщения:

    1. Обнаружен вирус.
    Сведения о тревоге
    Файл – http:/10.2.56.58:7841/х (10.2.56.58:7841 – постоянно разный)
    Вирус – Win32/Injector.QA троян
    Выполняемое действие – Завершить

    2. Обнаружен вирус.
    Сведения о тревоге
    Файл – C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\V3BPI1G6\x[1] (V3BPI1G6 – постоянно разный, вместо x[1] иногда testa[1] или testa[2])
    Вирус – Win32/Injector.QA троян
    Комментарий – Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.

    3 (данное сообщение иногда не выдает). Обнаружен вирус.
    Сведения о тревоге
    Файл – C:\WINDOWS\System32\67.scr (67 – постоянно разный)
    Вирус – Win32/Injector.QA троян
    Комментарий – Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Такая система для интернета НЕ ГОДИТСЯ!!!

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe 
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe_,
    O2 - BHO: Gamburg provider - {FFFFFFFF-8F0D-4322-B01F-B42439E0B71C} - tkcom32.dll (file missing)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('WmiApSrvAlerter');
     StopService('Winbp83');
     StopService('UPSNVSvcWmi');
     StopService('UPSNVSvc');
     StopService('TlntSvrNVSvc');
     StopService('ResetERSvc');
     StopService('RemoteRegistryTermService');
     StopService('PlugPlaydmadmin');
     StopService('lanmanserverlanmanserver');
     StopService('DnscacheWmiApSrv');
     QuarantineFile('c:\windows\system32\ntos.exe_','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winbp83.sys','');
     DeleteService('WmiApSrvAlerter');
     DeleteService('Winbp83');
     DeleteService('UPSNVSvcWmi');
     DeleteService('UPSNVSvc');
     DeleteService('TlntSvrNVSvc');
     DeleteService('ResetERSvc');
     DeleteService('RemoteRegistryTermService');
     DeleteService('PlugPlaydmadmin');
     DeleteService('lanmanserverlanmanserver');
     DeleteService('DnscacheWmiApSrv');
     DeleteFile('C:\WINDOWS\System32\drivers\Winbp83.sys');
     DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
     DeleteFileMask('C:\windows\system32','??.scr',true);
     DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('WmiApSrvAlerter');
     BC_DeleteSvc('Winbp83');
     BC_DeleteSvc('UPSNVSvcWmi');
     BC_DeleteSvc('UPSNVSvc');
     BC_DeleteSvc('TlntSvrNVSvc');
     BC_DeleteSvc('ResetERSvc');
     BC_DeleteSvc('RemoteRegistryTermService');
     BC_DeleteSvc('PlugPlaydmadmin');
     BC_DeleteSvc('lanmanserverlanmanserver');
     BC_DeleteSvc('DnscacheWmiApSrv');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32
    Все выполнил как написали, но Nod32 продолжает выдавать сообщения о вирусе.

    Новые логи:
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от EmImm Посмотреть сообщение
    Nod32 продолжает выдавать сообщения о вирусе.
    А чему тут удивляться? У Вас на системе не то, что вирусов, а крокодилов встретить можно....

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\RVHOST.exe','');
     QuarantineFile('C:\Program Files\Helper\Helper9.dll','');
     QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
     QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
     DeleteFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll');
     DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
     DeleteFile('C:\Program Files\Helper\Helper9.dll');
     DeleteFile('C:\WINDOWS\System32\RVHOST.exe');
     DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}');
     DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
     DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(17);
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32
    все выполнил, вирус остался

    на счет крокодилов - полностью согласен, но я сейчас никак систему переустановить не могу((

    новые логи
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от EmImm Посмотреть сообщение
    все выполнил, вирус остался
    Где? Какой файл по вопросом у НОД???

  8. #7
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32
    все абсолютно тоже самое самое что и в начале, с периодичностью в 10 минут выдает все три сообщения

    могу лог НОДа выложить, если надо

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от EmImm Посмотреть сообщение
    могу лог НОДа выложить, если надо
    не надо

    Значится так:
    - В логах ничего подозрительного
    - НОД будет ругаться, пока систему не пропатчите.

    Носить воду в решете прекращаем

    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8

    Потом сделайте новые логи.

  10. #9
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32
    Ок, я все понял, тогда завтра займусь, и отпишусь, спасибо за помощь

  11. #10
    Junior Member Репутация
    Регистрация
    14.06.2009
    Сообщений
    6
    Вес репутации
    32
    Я всю систему снес и поставил СП3, поэтому проблема решилась как бы автоматически))) и тему можно закрывать. Спасибо Rene-gad за помощь и советы.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) EmImm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Троян Win32/Injector.GJM
      От beerliker в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.09.2011, 09:51
    2. Троян Win32/Injector.BZY
      От Gabidz в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.06.2010, 22:01
    3. Пойман троян Win32/Injector.BHA
      От Feya в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 21.04.2010, 16:21
    4. Троян Win32/Injector.UB
      От BloodNik в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 10.08.2009, 19:43
    5. Win32/Injector.MM троян
      От flyleaf в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.04.2009, 20:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00906 seconds with 17 queries