Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Не могу обнаружить троян отрубающий инет + звери в C:\WINDOWS\system32\i (заявка № 58702)

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53

    Thumbs up Не могу обнаружить троян отрубающий инет + звери в C:\WINDOWS\system32\i

    Здравствуйте, проблема в следующем, поймал заразу.
    Симптомы: Выбивает ошибку General Host Process for Win32 Services, с последующим вылетанием Инета (pppoe) и вырубанием\искривлением Windows Blinds (Возможно и просто темы), после ручного подключения к инету, отказывается пинговать внешку, хотя подключение происходит нормально.
    Так же нашел пачку зверей C:\WINDOWS\system32\i, антивирусом убиваются но самовостонавливаются.
    Просканил AVP8 почистил все что можно проблема осталась, последний CureIt в безопасном режиме ничего не находит.
    Файлы логов прилагаются, если что не так сильно не судите, первый пост на вашем форуме.

    3 Сутки уже бьюсь с ним... =(

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Закройте/выгрузитевсепрограммыкроме AVZ .
    Отключите:
    - ПК от интернета/локалки;
    - антивирус и файрвол.;
    - восстановление системы;
    - выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\FYDDOS.dll','');
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
     QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     DeleteFile('C:\WINDOWS\System32\FYDDOS.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\W32Time\Parameters','ServiceDll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    После выполнить:
    - включите антивирус и файрволл
    - подключите ПК к интернету/локалке
    - закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 2 Диагностики и новые логи прикрепите к новому сообщению

  4. #3
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Готово

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    В логах чисто, что с проблемой?
    Файл hots сами правили? Если нет, то выполните такой скрипт
    Код:
    begin
    Executerepair(13);
    RebootWindows(false);
    end.
    Компьютер перезагрузится
    Рекомендую обновить Windows XP SP2 до Windows XP SP3, возможно потребуется активация, а также Internet Explorer v6.00 до Internet Explorer v8.00
    Последний раз редактировалось Шапельский Александр; 30.10.2009 в 09:44.

  6. #5
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Цитата Сообщение от shapel Посмотреть сообщение
    В логах чисто, что с проблемой?
    Файл hots сами правили? Если нет, то выполните такой скрипт
    Рекомендую обновить Windows XP SP2 до Windows XP SP3, возможно потребуется активация, а также Internet Explorer v6.00 до Internet Explorer v8.00
    В C:\WINDOWS\system32\i чисто теперь, но проблема с ошибкой General Host Process for Win32 Services и последующим выбиванием инета осталась, при пинге пишет заданный узел не доступен пингую ip а не dns-имя.
    Хосты правил сам, но перепроверю, на наличие подозрительных записей.
    Обновиться попробую вечером, если повезет вытянуть апдейтер.

    Добавлено через 9 часов 44 минуты

    Вернулся домой,а в C:\WINDOWS\system32\i опять они были, kav все вычистил, кроме батника d.bat
    Код:
    for %%i in (*.exe) do start %%i
    В
    C:\WINDOWS\system32\drivers
    Есть файлы с последним изменением сегодняшним числом, это нормально?
    ujm2mjcx.sys
    utm2mjcx.sys
    fidbox2.dat
    fidbox2.idx
    fidbox.dat
    fidbox.idx

    Сегодня всю ночь собираюсь дома ковыряться, так что буду рад любым советам.
    Последний раз редактировалось alidml; 30.10.2009 в 19:28. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от alidml Посмотреть сообщение
    проблема с ошибкой General Host Process for Win32 Services и последующим выбиванием инета осталась
    Ну дык:
    Код:
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    SP3 + все последующие заплатки безопасности с большой верятностью спасут отца русской демократии.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Делайте новые логи

  9. #8
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Цитата Сообщение от shapel Посмотреть сообщение
    Делайте новые логи
    Как раз этим и занимался.

    В hosts чисто.

  10. #9
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Цитата Сообщение от pig Посмотреть сообщение
    Ну дык:
    Код:
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    SP3 + все последующие заплатки безопасности с большой верятностью спасут отца русской демократии.
    Выкачиваю, теперь еще лекарство искать придется =(

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ltdrunsrv.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин

  12. #11
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Цитата Сообщение от shapel Посмотреть сообщение
    Выполните скрипт
    Пришлите карантин
    Если получиться, после прошлых логов и перезагрузки трояны все таки поднавернули avp

    Вроде убиваются, но в инет с того компа я больше не пойду...

    p.s 40% sp3 стянул

  13. #12
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Карантин закачал

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Карантин пуст, еще раз выполните скрипт надо проверить эту ltdrunsrv.dll

  15. #14
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Цитата Сообщение от shapel Посмотреть сообщение
    Карантин пуст, еще раз выполните скрипт надо проверить эту ltdrunsrv.dll
    Повторил скрипт и залил карантин.

    Добавлено через 3 минуты

    SP3 докачал и заливаю на комп, апдейтиться можно? )
    Последний раз редактировалось alidml; 30.10.2009 в 21:45. Причина: Добавлено

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Итак, карантин успешный, новый зловред!
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LtdSrv\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\system32\ltdrunsrv.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
    Последний раз редактировалось Шапельский Александр; 31.10.2009 в 00:25. Причина: Исправлен

  17. #16
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Цитата Сообщение от shapel Посмотреть сообщение
    Итак, карантин успешный, новый зловред!
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LtdSrv\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\system32\ltdrunsrv.dll','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
    За это время проапдейтился до SP3 и IE8

    Скрипт выполняться не хочет, пишет: Too many actual parameters в позиции 5:12

    Сейчас вообще все еще страшней, только подключаю инет и звери начинают лезть, в диспетчере задач примерно как на том скрине, что я выкладывал выше =(
    Это при включенном kav8 и уже на sp3.

    Модифицируете скрипт?

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Скрипт поправлен

  19. #18
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Выполнился вот так:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LtdSrv\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\system32\ltdrunsrv.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повис на моменте перезагрузки, когда уже отключился диспетчер задач, и остался только фон рабочего стола, пришлось резетить, так же рядом в C:\WINDOWS\system32\ есть ltdlogsrv.dll с похожим временем последнего изменения.

    Догрузился.
    Логи сейчас сделаю.
    Последний раз редактировалось alidml; 31.10.2009 в 00:38. Причина: дополнение

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Ок. Сделайте новые логи и прикрепите к новому сообщению

  21. #20
    Junior Member Репутация
    Регистрация
    29.10.2009
    Адрес
    Белгородская обл.
    Сообщений
    30
    Вес репутации
    53
    Готово, гадостей при подключении инета нету, да и проактивная касперского вроде нормально заработала, что в логах?

  • Уважаемый(ая) alidml, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 02.11.2011, 12:49
    2. Не могу удалить Троян в windows\system32\drivers
      От Denis K в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.05.2009, 11:25
    3. Троян в C:/WINDOWS/system32/ctfmon.exe
      От mmenn в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.03.2009, 19:13
    4. троян с расширением .sys в C:\windows\system32\drivers
      От Алек в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 27.02.2009, 12:57
    5. Не обнаружить троян
      От Rhino в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 22.02.2009, 01:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00687 seconds with 17 queries