Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

помогите избавиться от трояна (заявка № 51217)

  1. #1
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    37

    Exclamation помогите избавиться от трояна

    Часто выскакивают ошибки. Висят подозрительные процессы.
    все сделал по инструкции.
    CureIt нашел 4 файла и удалял их.
    Процессы остались.
    Вложения Вложения
    Последний раз редактировалось коржик; 03.08.2009 в 13:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    virusinfo_cure.zip из вложений убрать! Нужен файл virusinfo_syscure.zip

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
     DeleteService('systemntmi');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     DeleteService('nicsk32');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
     DeleteService('ati64si');
     QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
     DeleteService('acpi32');
     SetServiceStart('netsik', 4);
     DeleteService('netsik');
     QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
     TerminateProcessByName('c:\windows\system32\sysmgr.exe');
     QuarantineFile('c:\windows\system32\sysmgr.exe','');
     TerminateProcessByName('c:\windows\msudp32.exe');
     QuarantineFile('c:\windows\msudp32.exe','');
     TerminateProcessByName('c:\windows\system32\ms18_word.exe');
     QuarantineFile('c:\windows\system32\ms18_word.exe','');
     TerminateProcessByName('c:\documents and settings\user\ms18_word.exe');
     QuarantineFile('c:\documents and settings\user\ms18_word.exe','');
     DeleteFile('c:\documents and settings\user\ms18_word.exe');
     DeleteFile('c:\windows\system32\ms18_word.exe');
     DeleteFile('c:\windows\msudp32.exe');
     DeleteFile('c:\windows\system32\sysmgr.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
     DeleteFile('C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    37
    сделал
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 05.08.2009 в 19:51. Причина: quarantine removed

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от thyrex Посмотреть сообщение
    Нужен файл virusinfo_syscure.zip
    ???

  6. #5
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    37
    сделал
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\Documents and Settings\NetworkService\ms18_word.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
     DeleteService('ksi32sk');
     QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
     DeleteService('amd64si');
     TerminateProcessByName('c:\windows\system32\wshost32.exe');
     QuarantineFile('c:\windows\system32\wshost32.exe','');
     TerminateProcessByName('c:\windows\system32\spooisv.exe');
     QuarantineFile('c:\windows\system32\spooisv.exe','');
     TerminateProcessByName('c:\windows\msconfigs.exe');
     QuarantineFile('c:\windows\msconfigs.exe','');
     TerminateProcessByName('c:\windows\system32\hp32_nword.exe');
     QuarantineFile('c:\windows\system32\hp32_nword.exe','');
     TerminateProcessByName('c:\documents and settings\user\hp32_nword.exe');
     QuarantineFile('c:\documents and settings\user\hp32_nword.exe','');
     DeleteFile('c:\documents and settings\user\hp32_nword.exe');
     DeleteFile('c:\windows\system32\hp32_nword.exe');
     DeleteFile('c:\windows\msconfigs.exe');
     DeleteFile('c:\windows\system32\spooisv.exe');
     DeleteFile('c:\windows\system32\wshost32.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
     DeleteFile('C:\Documents and Settings\NetworkService\ms18_word.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    37
    Результат загрузки
    Файл сохранён как 090807_092607_virus2_4a7bbaefe543a.zip
    Размер файла 463357
    MD5 0e09870ea71680319d271c28d4241693
    Файл закачан, спасибо!
    Вложения Вложения
    Последний раз редактировалось коржик; 07.08.2009 в 09:32.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Диск с дистрибутивом имеется?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('msconfigs.exe','');
     SetServiceStart('port135sik', 4);
     DeleteService('port135sik');
     SetServiceStart('nicsk32', 4);
     DeleteService('nicsk32');
     SetServiceStart('i386si', 4);
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('msconfigs.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    37
    Цитата Сообщение от thyrex Посмотреть сообщение
    Диск с дистрибутивом имеется?
    Вы имеете в ввиду Windows? За дистрибутив текущей установки не уверен. Другой дистрибутив найдем.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Шлите последний карантин
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    37
    Компьютер сам не перегрузился, и никак не хотел перегружаться кроме как по кнопке RESET.


    Результат загрузки
    Файл сохранён как 090808_095911_virus4_4a7d142fa7768.zip
    Размер файла 419639
    MD5 a5a8c9b95938002447b805590a1fc05f
    Файл закачан, спасибо!
    Вложения Вложения

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Файл C:\WINDOWS\system32\Drivers\Ntfs.sys заражен, его нужно заменить на чистый из дистрибутива:
    - Загрузитесь в консоли восстановления
    - На приглашение введите строку:
    Код:
    copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys
    Вместо Х подставьте букву драйва, где лежит дистрибутив.
    Переписывание подтвердите.
    - Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    - Загрузитесь нормально.

    Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.

    Дальнейшее лечение будет эффективным только после выполнения вышенаписанного
    Последний раз редактировалось Rene-gad; 08.08.2009 в 11:26.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    37
    консоль восстановления не нашел на диске с дистрибутивом. Видимо какая то сборка.
    Поставил рядом другую винду и уже из под нее удалил Ntfs.sys из старой винды и заменил файлом из новой, так пойдет?

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Пойдет

    Новые логи теперь делайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    37
    сделал
    Вложения Вложения

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Пофиксить в HiJack
    Код:
     R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKLM\..\Run: [wshost32] C:\WINDOWS\system32\wshost32.exe
    O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-3122361550-0467662055-568212216-6700\csvcs.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
     DeleteService('port135sik');
     TerminateProcessByName('c:\docume~1\user\locals~1\temp\700.exe');
     QuarantineFile('c:\docume~1\user\locals~1\temp\700.exe','');
     DeleteFile('c:\docume~1\user\locals~1\temp\700.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3122361550-0467662055-568212216-6700\csvcs.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     DeleteFile('C:\WINDOWS\system32\wshost32.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    DeleteFileMask('c:\docume~1\user\locals~1\temp', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('port135sik');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    В файле hosts удалите все, что не Ваше

    Сделайте новые логи (все три файла)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    37
    сделал
    Вложения Вложения

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Цитата Сообщение от thyrex Посмотреть сообщение
    В файле hosts удалите все, что не Ваше
    Переформулирую вопрос - в файл hosts вносили изменения сами?
    Кроме антивирусных сайтов, доступ к которым у Вас блокируется в данное время, могут быть нужные Вам записи.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    37
    упс, извините про hosts совсем забыл - с ним ничего не делал
    кроме этого, все чисто?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Выполните скрипт в AVZ
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог по п.2 Диагностики.

  • Уважаемый(ая) коржик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите избавиться от трояна!
      От Андрей Ярков в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 15.11.2011, 12:55
    2. Помогите избавиться от трояна
      От lostben в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.07.2011, 16:09
    3. Помогите избавиться от трояна!
      От Андрей Карпов в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.03.2011, 02:00
    4. Помогите избавиться от трояна sp**.sys
      От heat в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.04.2008, 13:37
    5. Помогите избавиться от трояна
      От boris_tovt в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.03.2008, 16:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00021 seconds with 17 queries