Показано с 1 по 8 из 8.

вирус (заявка № 49131)

  1. #1
    Junior Member Репутация
    Регистрация
    19.02.2009
    Сообщений
    44
    Вес репутации
    56

    Question вирус

    WinXP SP2 + KAV7. Сначала начал просто тормозить и зависать комп (особенно в процессе работы 1С, в частности печати на сетевой принтер), периодически появлялось сообщение от KAv7 об обнаружении вируса, но очень быстро закрывалось (как я понял с действием Разрешить - налицо наличии вируса)
    потом KAV7 обнаружил и нейтрализовал Tojan-Spy.Win32.Zbot.gen и Tojan-Spy.Win32.Keylogger.cdc, но ситуацию это особо не улучшело... по логам того же KAV7 было зарегестрировано множественные попытки внедрения со стороны процессов Winlogon.exe PID 676 (заглянув в реестр в HKLM\Software\Microsoft\WindowsNT\Winlogon узрел мусор приписанный в автозапуске userinit.exe - убрать его отдуда смог только когда врубил защиту рееста в настройках KAV) Тем не менее процесс winlogon.exe все равно пытался влезть в реестр (KAV его уже регистрировал как ПО 'Invader' и блокировал). Так же проявляли подозрительную активность (по мнению KAV7) процессы dwwin.exe PID 468, explorer.exe PID 320 (как ПО 'Invader'), iexplorer.exe PID 3388, 3344, 608.
    Пару раз выскакивало сообщение от dwwin.exe "в папке виндовс, а в ней в папке AppPatch файл AcGeneral.dll не является образом программы для Windows NT. Проверьте назначение установочного диска". И такое же сообщение, но с файлом shfolder.dll в папке System32.
    Ни CureIT, ни KAV Remove Tool ничего не нашли...вот хочу еще попробовать, как комп освободиться, тупо заменить системные файлы (explorer, winlogon, userinit) с другого не зараженного компа с WinXP sp2....
    а пока надеюсь на Ваш совет и заранее спасибо за внимание.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксить в HiJack
    Код:
     O20 - AppInit_DLLs: karina.dat
    O20 - Winlogon Notify: Mquwofy - mquwofy.dll (file missing)
    O20 - Winlogon Notify: partnershipreg - D:\Documents and Settings\All Us-ers\Документы\Settings\partnership.dll (file missing)
    O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
    O20 - Winlogon Notify: WinCtrl32 - D:\WXP\
    O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - D:\WXP\system32\srrhs.dll (file missing)
    O21 - SSODL: WebCheck - {A5C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} - java32w.dll (file missing)
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('D:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('D:\WXP\system32\kprof','');
     DeleteService('kprof');
     QuarantineFile('D:\WXP\system32\poof','');
     DeleteService('poof');
     QuarantineFile('srv.exe','');
     QuarantineFile('D:\WXP\system32\lich.exe','');
     DeleteService('lich');
     DeleteService('LmHostsSamSs');
     DeleteService('NtLmSspTrkWks');
     DeleteService('RasAutoSwPrv');
     DeleteService('ScheduleDnscache');
     DeleteService('seclogonSamSs');
     DeleteService('UMWdfUMWdf');
     DeleteService('UPSlich');
     DeleteService('wuauservNtLmSspTrkWks');
     QuarantineFile('D:\WXP\System32\Drivers\Bio74.sys','');
     DeleteService('Bio74');
     QuarantineFile('D:\WXP\system32\srrhs.dll','');
     QuarantineFile('D:\WXP\system32\tdhjf945jfy.dll','');
     QuarantineFile('mswshl.dll','');
     QuarantineFile('mquwofy.dll','');
     QuarantineFile('karina.dat','');
     QuarantineFile('D:\WXP\System32\Drivers\Winbi42.sys','');
     QuarantineFile('Wincj63.sys','');
     QuarantineFile('D:\WXP\System32\Drivers\Winmt74.sys','');
     QuarantineFile('D:\WXP\System32\Drivers\Winqx30.sys','');
     QuarantineFile('D:\WXP\System32\Drivers\Wintb30.sys','');
     QuarantineFile('D:\WXP\System32\Drivers\Winwe52.sys','');
     DeleteService('Winwe52');
     DeleteService('Wintb30');
     DeleteService('Winqx30');
     DeleteService('Winmt74');
     DeleteService('Wincj63');
     DeleteService('Winbi42');
     DeleteService('DhcpImapiService');
     DeleteService('BrowserPlugPlaySENS');
     DeleteService('BrowserPlugPlay');
     QuarantineFile('D:\WXP\system32\java32w.dll','');
     DeleteFile('D:\WXP\system32\java32w.dll');
     DeleteFile('D:\WXP\System32\Drivers\Winwe52.sys');
     DeleteFile('D:\WXP\System32\Drivers\Wintb30.sys');
     DeleteFile('D:\WXP\System32\Drivers\Winqx30.sys');
     DeleteFile('D:\WXP\System32\Drivers\Winmt74.sys');
     DeleteFile('Wincj63.sys');
     DeleteFile('D:\WXP\System32\Drivers\Winbi42.sys');
     DeleteFile('karina.dat');
     DeleteFile('mquwofy.dll');
     DeleteFile('mswshl.dll');
     DeleteFile('D:\WXP\system32\tdhjf945jfy.dll');
     DeleteFile('D:\WXP\system32\srrhs.dll');
     DeleteFile('D:\WXP\System32\Drivers\Bio74.sys');
     DeleteFile('D:\WXP\system32\lich.exe');
     DeleteFile('srv.exe');
     DeleteFile('D:\WXP\system32\poof');
     DeleteFile('D:\WXP\system32\kprof');
     DeleteFile('D:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    19.02.2009
    Сообщений
    44
    Вес репутации
    56
    спасибо
    всё сделал отпустило вроде.... только когда сейчас делал логи в качестве интернет-бразузера запустил мазилуб а не IE
    это не важно?
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    На всякий случай лог gmer сделайте (смотреть в ЧАВО, отмечать только системный диск)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    19.02.2009
    Сообщений
    44
    Вес репутации
    56
    спасибо еще раз
    только вот странный момент
    список принтеров исчез (Пуск-Настройка-Принтеры), но (!), когда в том же 1С шлешь на печать - там принтеры присутствуют..... к чему бы это????

    P.S. И что за вирусня такая (если не секрет) атаковала мой комп, да так, что ни CureIT, ни KAV Tool их не улицезрели???
    Вложения Вложения
    • Тип файла: log gmer.log (164.2 Кб, 5 просмотров)

  7. #6
    Junior Member Репутация
    Регистрация
    19.02.2009
    Сообщений
    44
    Вес репутации
    56
    никаких вариантов?

  8. #7
    Junior Member Репутация
    Регистрация
    19.02.2009
    Сообщений
    44
    Вес репутации
    56
    ну что ж...... думаю можно тему закрывать, хотя список принтеров конечно жалко....
    единственное, что беспокоит, так это процесс Explorer.exe по логам KAV7 все еще пытается внедриться, но возможно это уже его нормальная работа.....


    Еще раз большое спасибо.
    Последний раз редактировалось golmarco; 06.07.2009 в 12:49.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 37
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\wxp\system32\java32w.dll - Trojan-Spy.Win32.KeyLogger.cgq ( DrWEB: Trojan.KeyLogger.3535 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) golmarco, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01409 seconds with 19 queries