Показано с 1 по 16 из 16.

Перехватчики плодятся? (заявка № 50998)

  1. #1
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    38

    Question Перехватчики плодятся?

    Здравствуйте.
    При каждом последующем запуске АВЗ число перехваченных функций возрастает.
    Помогите почистить пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\orgmml.sys','');
     QuarantineFile('C:\WINDOWS\System32\LIBMYSQL.dll','');
     QuarantineFile('c:\windows\system32\cmptes.dll','');
     QuarantineFile('C:\WINDOWS\System32\capisrv.dll','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('asc3360pr');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=50998).
    Обновите базы AVZ и сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    38
    Результат загрузки
    Файл сохранён как 090730_124106_virus_4a715ca256d71.zip
    Размер файла 1458054
    MD5 e64d7b395ac060a42bf157fc722947d2
    Сделал.

    Еще почему-то NOD стал выкатывать после загрузки (и потом периодически) ровно по 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('Universal Plug and Play Device Net Host');
     QuarantineFile('C:\WINDOWS\SSWG8-15.exe','');
     DeleteFile('C:\WINDOWS\System32\capisrv.dll');
     DeleteFile('C:\WINDOWS\System32\LIBMYSQL.dll');
     DeleteFile('C:\WINDOWS\SSWG8-15.exe');
     DeleteService('Universal Plug and Play Device Net Host');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('Universal Plug and Play Device Net Host');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению

  6. #5
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    38
    Результат загрузки
    Файл сохранён как 090730_143645_virus_4a7177bd9424b.zip
    Размер файла 578
    MD5 c98946adc6b10b976990a6c862d96355

    Все сделал.
    Теперь еще появилось какое-то новое оборудование в системе (драйвер AVZ?)
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    В логах чисто. Жалобы есть?

    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8
    - Обновите Acrobat Reader

    Цитата Сообщение от sparrow Посмотреть сообщение
    Теперь еще появилось какое-то новое оборудование в системе (драйвер AVZ?)
    Удалите его через диспетчер оборудования.

  8. #7
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    38
    По поводу SP3 попробую (вообще комп не мой).

    NOD продолжает выкатывать после первого запуска IE ровно 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно.
    Похоже их (троянов) порождает что-то на компьютере

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от sparrow Посмотреть сообщение
    NOD продолжает выкатывать после первого запуска IE ровно 11 сообщений подряд о каких-то перехваченных разных троянах... Дескать отправлены в карантин, работайте спокойно.
    Лог Нода прикрепите к сообщению, троянцев из карантина - по правилам закачайте.

  10. #9
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    38
    Результат загрузки
    Файл сохранён как 090730_160127_virus_4a718b9704769.zip
    Размер файла 437203
    MD5 7a2df281b272b6a07433bba3f8ba1fa4

    В NODе не нашел выгрузки карантина во внешний файл, отправил Вам сжатую папку Infected (пароль virus)? думаю, что это он.
    Вложения Вложения
    • Тип файла: txt nod.txt (37.5 Кб, 10 просмотров)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Спасибо, карантин получен
    Выполните ещё тут: http://virusinfo.info/showpost.php?p=435039&postcount=2
    - Сделайте лог GMER
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip

  12. #11
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    38
    Сделал
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('WinHelp32');
     StopService('WcsSrv');
     QuarantineFile('C:\WINDOWS\System32\capisrv.dll','');
     QuarantineFile('c:\windows\system32\cmptes.dll','');
     QuarantineFile('C:\Program Files\Common Files\Svc.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
     DeleteFile('C:\WINDOWS\System32\capisrv.dll');
     DeleteFile('c:\windows\system32\cmptes.dll');
     DeleteFile('C:\Program Files\Common Files\Svc.exe');
     DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('WinHelp32');
    BC_DeleteSvc('WcsSrv');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  14. #13
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    38
    Результат загрузки
    Файл сохранён как 090731_120255_virus_4a72a52f836ac.zip
    Размер файла 876664
    MD5 10c6b8c236b4956c5027ce16657b6754

    Сделал
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('ERSvc');
     StopService('9954DCC8');
     QuarantineFile('C:\WINDOWS\Fonts\31C7D188.DLL','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ERSvc.sys',''); 
     DeleteFile('C:\WINDOWS\system32\drivers\ERSvc.sys');
     QuarantineFile('C:\WINDOWS\Fonts\F8E878D0.EXE','');
     DeleteService('ERSvc');
     DeleteService('9954DCC8');
     DeleteFileMask('C:\WINDOWS\Fonts','*.EXE', false);
     DeleteFileMask('C:\WINDOWS\Fonts','*.dll', false);
    BC_ImportAll;
    ExecuteSysClean;
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  16. #15
    Junior Member Репутация
    Регистрация
    08.09.2007
    Сообщений
    79
    Вес репутации
    38
    Результат загрузки
    Файл сохранён как 090731_142122_virus_4a72c5a2915d1.zip
    Размер файла 1742
    MD5 b0a363fc0e5eba90f434c32fa6acfc86

    Сделал
    Вложения Вложения

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 5
    • Обработано файлов: 62
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\common files\svc.exe - Backdoor.Win32.Agent.ajcb ( DrWEB: BackDoor.RemoteABC.9 )
      2. c:\windows\fonts\f8e878d0.exe - Trojan-Dropper.Win32.Agent.aypv ( DrWEB: Trojan.MulDrop.33051, BitDefender: Win32.Worm.Winko.I )
      3. c:\windows\system32\capisrv.dll - Backdoor.Win32.Rbot.krn ( DrWEB: Trojan.SqlShell.5, BitDefender: Worm.Hosete.A )
      4. c:\windows\system32\capisrv.dll - Exploit.Win32.SqlShell.h ( DrWEB: Trojan.SqlShell.4, BitDefender: Backdoor.Agent.AAHP )
      5. c:\windows\system32\cmptes.dll - Trojan-Downloader.Win32.Agent.ckvw ( DrWEB: Trojan.DownLoad.42029, BitDefender: Worm.Hosete.A )
      6. c:\windows\system32\libmysql.dll - Exploit.Win32.SqlShell.i ( DrWEB: Exploit.MySql.3 )
      7. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aaaf ( DrWEB: Trojan.PWS.Panda.114 )
      8. c:\windows\system32\winhelp32.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoad.42056, BitDefender: Gen:Trojan.Heur.P.hC0@e4DmIshb )
      9. \virus\c22jilca.nqf - Trojan-Downloader.Win32.Agent.cjey ( DrWEB: BackDoor.ClDdos )
      10. \virus\grfft0aa.nqf - Trojan-Downloader.Win32.Apher.at ( DrWEB: Trojan.DownLoad.41529, BitDefender: Trojan.Downloader.Agent.AAQE )
      11. \virus\hlkftkaa.nqf - Trojan-Downloader.Win32.Agent.ckyz ( BitDefender: Trojan.Rincux.AW )
      12. \virus\ryqqcraa.nqf - Trojan-Dropper.Win32.Agent.ayqf ( DrWEB: Trojan.MulDrop.32540 )
      13. \virus\tco5wrca.nqf - Trojan-Downloader.Win32.Agent.ckyf ( DrWEB: BackDoor.Fanchi, BitDefender: Trojan.Rincux.AW )
      14. \virus\tlxhrqca.nqf - Trojan-DDoS.Win32.Agent.gd ( DrWEB: Trojan.MulDrop.29482 )
      15. \virus\yis0vpca.nqf - Backdoor.Win32.Agent.aioe ( DrWEB: DDoS.Attack.238, BitDefender: Backdoor.Hupigon.145523 )
      16. \virus\zuwfxlba.nqf - Backdoor.Win32.Small.iey ( DrWEB: BackDoor.Spy.37, BitDefender: Trojan.Rincux.AW )
      17. \virus\0i2wctca.nqf - Trojan-Downloader.Win32.Delf.uwc ( DrWEB: BackDoor.Darkshell.71 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) sparrow, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Плодятся процессы rundll32.exe
      От xen_chut в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 27.02.2010, 00:55
    2. Плодятся процессы cmd.exe и services.exe :(
      От Амстердам в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.03.2009, 22:52
    3. Плодятся процессы cmd и services
      От Isa_1975 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 09:01
    4. BN3.tmp и svchost.exe плодятся в процессах
      От Olga6913 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 05:02
    5. Трояны плодятся по новой...
      От Elessar в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 04:21

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00422 seconds with 17 queries