Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

BuckDoor.Siggen.917 (заявка № 56347)

  1. #1
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53

    Thumbs up BuckDoor.Siggen.917

    Добрый день!
    Господа, помогите "полному пользователю" (если можно, то пошагово) победить зловредных зверушек, заведшихся на компе.
    Суть проблемы: Др.Веб 5.0 при скане определяет кучку из 20.000 файлов и определяет их, как зараженных BuckDoor.Siggen.917. При попытке вылечить/удалить - пишет, что вылечить невозможно, удалено. Но по факту этого не происходит, при повторной проверке файлы (расширение exe и scr) выявляются вновь. Группируются они в основном в двух папках (Recycle System Volume Information) на каждом из 3-х диcков. В папках они не видны, хотя подключена функиция показывать скрытые файлы/папки, но при просмотре "свойства" показывается из объем и количество. Попытка удалить папки целиком не удается, пишет, что выполняется действие или нет доступа. Зверушки имеются также в папке Windows.
    При проверке по условиям даннного форума avz нашел также Trojan-Downloader.Win32.Agent.zje. Написал, что удалил.
    Помогите, люди добрые, избавиться от заразы и не переустанавливать Винды!!!
    Заранее спасибо!
    SW

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteRepair(14);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('C:\ulr.exe','');
     DeleteFile('C:\ulr.exe');
     QuarantineFile('E:\Сканер\utkqn.exe','');
     QuarantineFile('E:\Отпуск_2008\Италия\pfhdagb.exe','');
     QuarantineFile('E:\Отпуск 2009\билеты\sacs.exe','');
     QuarantineFile('E:\Заяц_М\uy.exe','');
     QuarantineFile('E:\Архивы для графики\ti.exe','');
     QuarantineFile('C:\ScanPanel\TMPText\dauyv.exe','');
     QuarantineFile('C:\Intel\Logs\uurnkfx.exe','');
     QuarantineFile('C:\Program Files\ABBYY Lingvo x3\TutorDictionaries\hgj.exe','');
     QuarantineFile('C:\Documents and Settings\Асти\NetHood\корфу под запись на Asty\vxpm.exe','');
     DeleteFile('C:\Documents and Settings\Асти\NetHood\корфу под запись на Asty\vxpm.exe');
     DeleteFile('C:\Program Files\ABBYY Lingvo x3\TutorDictionaries\hgj.exe');
     DeleteFile('C:\Intel\Logs\uurnkfx.exe');
     DeleteFile('C:\ScanPanel\TMPText\dauyv.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc','EventMessageFile');
     DeleteFile('E:\Архивы для графики\ti.exe');
     DeleteFile('E:\Заяц_М\uy.exe');
     DeleteFile('E:\Отпуск 2009\билеты\sacs.exe');
     DeleteFile('E:\Отпуск_2008\Италия\pfhdagb.exe');
     DeleteFile('E:\Сканер\utkqn.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Диски открыты для доступа по сети?
    Пароли на учетные записи пользователей с правами администратора надежные стоят?

  5. #4
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Диски открыты для доступа по сети?
    Пароли на учетные записи пользователей с правами администратора надежные стоят?
    Добрый день!

    Диски открыты для доступа по сети?
    - Ситуация такая: есть локальная сеть - компьютер+ноутбук. Для нее диски открыты.
    Вдобавок к этому комп подсоединен через роутер к локальной сети провайдера. На роутере пароль.

    Пароли на учетные записи пользователей с правами администратора надежные стоят?
    - На компьютере 2 пользователя - общий "юзер" без пароля и запароленный основной пользователь. Сегодня, запустив в безопасном режиме, узнал, что есть еще адимнистратор без пароля.

    Пришлите файлы из карантина.
    -Если я правильно понял, то в карантине файлов нет

    Сделайте новый лог.
    -Приложение

    Спасибо!

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от sw(ws) Посмотреть сообщение
    Др.Веб 5.0 при скане определяет кучку из 20.000 файлов
    А SpiderGuard в процессе работе ничего не ловит?
    Либо ноутбук заражен этой гадостью, либо роутер не правильно настроен.

    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     DeleteFile('C:\Documents and Settings\Асти\NetHood\корфу под запись на Asty\vxpm.exe');
     DeleteFile('C:\Intel\Logs\uurnkfx.exe');
     DeleteFile('C:\Program Files\ABBYY Lingvo x3\TutorDictionaries\hgj.exe');
     DeleteFile('C:\ScanPanel\TMPText\dauyv.exe');
     DeleteFile('C:\ulr.exe');
     DeleteFile('C:\ulrnfx.exe');
     DeleteFile('E:\Архивы для графики\ti.exe');
     DeleteFile('E:\Заяц_М\uy.exe');
     DeleteFile('E:\Отпуск 2009\билеты\sacs.exe');
     DeleteFile('E:\Отпуск_2008\Италия\pfhdagb.exe');
     DeleteFile('E:\Сканер\utkqn.exe');
     DeleteFile('c:\Program Files\Bonjour\mDNSResponder.exe');
    ExecuteSysClean;
    end.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  7. #6
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    А SpiderGuard в процессе работе ничего не ловит?
    Либо ноутбук заражен этой гадостью, либо роутер не правильно настроен.
    Ноут вполне может быть заражен, но он не работал в системе с компом уже месяца три. Полная клиническая кратина следующая:
    В авусте подцепил гадость, название уже не помню - самоплодящиеся файлы расширением exe и scr, все объемом около 450кб. Названия имели вид a an anc ancr и т.д.. Плодились во всех папках. Ни ДрВеб, ни Нод32 не определяли эти файлы как вирус. При помощи Anvirrus нашел и остановил процесс воспроизведения и стер (большинство?) файлов вручную. Проверка в сентябре новым ДрВебом дала ОК.
    Дня два назад комп в заснужшем состоянии начал верещать. СпайдерГайд показал, что файл, такого же вида как и ранее встречавшиеся, заражен гадостью, указанной в заголовке. При тотальном сканировании выясгнилось, что файлом много, причем файлов ранеевстречавшегося вида - меньшенство, а большинство - вида а00хххх, где хххх - возрастающие порадковые номера. Расширения также exe и scr, и кучкуются они в нескольких папках, доступ к которым закрыт. ДрВеб определяет их как вирус, пишет, что удалил, но на деле этого не происходит.
    Новый лог в аттаче.
    SW
    ЗЫ. Еще один ламерский вопрос - при сканировании АВЗ надо типы сканирования файлов оставлять по умолчанию (потенциально опасные) или менять на все?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Длинная история.
    Цитата Сообщение от sw(ws) Посмотреть сообщение
    большинство - вида а00хххх, где хххх - возрастающие порадковые номера. Расширения также exe и scr, и кучкуются они в нескольких папках, доступ к которым закрыт.
    Так называются файлы - копии, которые хранит служба восстановления системы.
    Раз их было много, значит заражение произошло давно и детектироваться файлы начали после обновления баз антивируса.
    Цитата Сообщение от sw(ws) Посмотреть сообщение
    при сканировании АВЗ надо типы сканирования файлов оставлять по умолчанию (потенциально опасные) или менять на все?
    Делать надо по инструкции - там этого нет.
    В логе чисто. Когда был последний сигнал от антивируса о BackDoor.Siggen.917?

  9. #8
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53
    Последний сигнал от СпайдерГарда был вчера, когда боролся самостоятельно. Сегодня не было. Сейчас проверил папки, где были а00 - чисто. В папке ДрВеб/Карантин - 7200 файлов, помеченных как зараженных БэкДор. При попытке в ДрВэбе выделить все-удалить, ДрВэб подвисает и не отвечает. Как можно удалить эти файлы из карантина, а то их более 3гб?
    Еще раз Вам огромное спасибо за помощь!!!
    С уважением,
    SW

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Отключите самозащиту DrWeb.
    Удалите карантин вручную.

  11. #10
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53
    Вроде бы получилось.
    Спасибо Вам, о, Мудрый Ка, огромное!!!
    С уважением,
    SW

  12. #11
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53
    О, мудрый Ка, глупый бандерлог сделал что-то не так. После предложенного Вами лечения папки очистились, но на следующий день ситуация повторилась: когда компьютер засыпает, спустя какое-то время СпайдерГард выдает тревогу, пишет, что в С:\\System Volume Information\_restore... обнаружены файлы a00...порядковый номер scr. или exe., зараженный BuckDoor.Siggen.917. Определяет сразу кучку файлов. Делает вид, что уничтожает. При тотальной проверке в этой же папке Др.Веб в этой папке также обнаружил кучку таких же файлов и сделал вид, что удалил их. Но мне кажется, что это удаление условное.
    О, мудрый Ка, не дай пропасть в неравной борьбе с вирусом!
    Заранее спасибо!
    SW

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл c:\avz_log.txt

  14. #13
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53
    Выполнил.
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Установите обновления безопасности на Windows.
    Лучше начать с Service Pack 3 (может потребоваться активация).

  16. #15
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Установите обновления безопасности на Windows.
    Лучше начать с Service Pack 3 (может потребоваться активация).
    Извините за глупый вопрос, а для установки обновления наличие м-м-м... лицензионного виндоуза... обязательно?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Если нет лицензии:
    Панель управления - Автоматическое обновление - Уведомлять, но не загружать.
    Когда список обновлений загрузится, выберите для загрузки те, которые имеют в названии:
    Обновление безопасности IE или Windows XP
    Начнется загрузка. После того как она закончится установите загруженные обновления.

  18. #17
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Если нет лицензии:
    Панель управления - Автоматическое обновление - Уведомлять, но не загружать.
    Когда список обновлений загрузится, выберите для загрузки те, которые имеют в названии:
    Обновление безопасности IE или Windows XP
    Начнется загрузка. После того как она закончится установите загруженные обновления.
    Слаб. Выполнил до "уведомлять, но не загружать", но список обновлений не загружается

  19. #18
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Если нет лицензии:
    Панель управления - Автоматическое обновление - Уведомлять, но не загружать.
    Когда список обновлений загрузится, выберите для загрузки те, которые имеют в названии:
    Обновление безопасности IE или Windows XP
    Начнется загрузка. После того как она закончится установите загруженные обновления.
    Установил. Вроде бы... Жду дальнейших указаний

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от sw(ws) Посмотреть сообщение
    Установил. Вроде бы...
    Если сомневаетесь, запустите скрипт из сообщения #12.
    Обновления должны закрыть лазейку для этого зловреда.

  21. #20
    Junior Member Репутация
    Регистрация
    04.10.2009
    Сообщений
    12
    Вес репутации
    53
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Если сомневаетесь, запустите скрипт из сообщения #12.
    Обновления должны закрыть лазейку для этого зловреда.
    Выполнил. Прилагаю.
    ЗЫ. Файл не прикрепить, пишет, что такой файл уже есть.
    Последний раз редактировалось sw(ws); 11.10.2009 в 21:07.

  • Уважаемый(ая) sw(ws), наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan Siggen
      От kosyakman в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.01.2010, 21:21
    2. Trojan.Siggen.288
      От MihailKrasnodar в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.03.2009, 16:25
    3. Trojan.Siggen.66
      От Kriz в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 07:57
    4. Троян Siggen.224
      От ESV в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.10.2008, 22:16
    5. siggen.224
      От Pest в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.09.2008, 09:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00377 seconds with 20 queries