Показано с 1 по 11 из 11.

Несколько троянов появляются снова (заявка № 60287)

  1. #1
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    16
    Вес репутации
    34

    Thumbs up Несколько троянов появляются снова

    На операционке изначально не было антивируса. дня 3 назад поставил НОД32 версии 3. Сразу базы не обновил. Жена активно работала всё это время в интернете (и браузинг, и даунлоадинг). На следующий день (13.11.09) отказался запускаться НОД при старте системы, т.к. не смог запустить свою службу. Снёс НОД, пытался поставить заново, но не получилось по причине невозможности запустить службу (как бы прав не хватает). Пользователь в системе единственный, с правами администратора. Проверил свежим CureIt. Он нашел несколько разных троянов, бэкдоров, трояндаунлоадеров... удалил их. В диспетчере задач некоторые процессы пришлось удалять вручную, т.к. CureIt на них не подействовал. После перегрузки компьютера ДрВеб нашёл все те же вирусы почти в тех же местах (поменялись только названия папок из случайных наборов символов). Кроме того есть файл windows\system32\regedit32.exe, который я ФАРом удаляю, но он появляется снова через пару секунд. В системе не отображаются скрытые файлы и папки, несмотря на попытки включить режим их отображения. Вроде всё перечислил... Логи AVZ и Hijackthis прикрепляю. Плиз хелп!!!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteRepair(9);
    ExecuteRepair(8);
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\risqpbnfh');
    RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\risqpbnfh\Parameters');
     QuarantineFile('c:\docume~1\alluse~1.win\drm\ugscq.dll','');
     QuarantineFile('c:\windows\system32\hkmrunsrv.dll','');
     QuarantineFile('C:\WINDOWS\system32\mswsock32.dll','');
     QuarantineFile('c:\windows\system32\rfmqtpc.dll','');
     QuarantineFile('C:\WINDOWS\system32\5EGPGXE0J5\J002.exe','');
     QuarantineFile('C:\WINDOWS\system32\8XNL1TP4UG\G001.exe','');
     QuarantineFile('C:\WINDOWS\system32\5EGPGXE0J5\E001.exe','');
     QuarantineFile('C:\WINDOWS\system32\8XNL1TP4UG\J001.exe','');
     QuarantineFile('C:\WINDOWS\system32\XRW11V4H3U\J001.exe','');
     QuarantineFile('C:\WINDOWS\system32\8XNL1TP4UG\J002.exe','');
     QuarantineFile('C:\WINDOWS\system32\7A8I913WBU\E001.exe','');
     QuarantineFile('C:\WINDOWS\system32\tsxas.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinHelpl.exe','');
     DeleteService('WinHelp32');
     DeleteService('tscbs.exe');
     DeleteService('NetBIOSs');
     DeleteService('jf');
     DeleteService('htdhg');
     DeleteService('hrhgres');
     DeleteService('gt');
     DeleteService('gews');
     DeleteService('fgrs');
     DeleteService('af');
     DeleteService('Attrdh');
     DeleteService('BackGround Switch');
     DeleteFile('C:\WINDOWS\system32\tsxas.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Обновите базы AVZ.
    Сделайте новый логи AVZ и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    16
    Вес репутации
    34
    Из безопасного режима утилитой Autoruns вычистил из автозагрузки всё подозрительное. Пока активных вирусов и их проявлений не вижу. Логи всёже отправляю. вдруг что-то мимо глаз попало, да и сами вирусы остались на своих местах, просто не активны (пока?).
    P.S. обычно пользуюсь Мозилой, но после моих "махинаций" с Autoruns мозила не может связаться ни с одним сайтом, в то время IE работает. Возможно смогу устранить переустановкой FireFox.
    Последний раз редактировалось DrPilulkin; 15.11.2009 в 15:47.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteRepair(15);
     BC_DeleteSvc('A35B10AE');
     QuarantineFile('C:\WINDOWS\system32\393D2B52.EXE','');
     QuarantineFile('C:\WINDOWS\system32\Tem40.tmp.exe','');
     BC_DeleteSvc('Aspnet_stater');
     BC_DeleteSvc('Attrdh');
     QuarantineFile('C:\WINDOWS\yhx.exe','');
     BC_DeleteSvc('BackGround Switch');
     QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
     BC_DeleteSvc('fgrs');
     BC_DeleteSvc('gdh');
     BC_DeleteSvc('gews');
     BC_DeleteSvc('gt');
     BC_DeleteSvc('hrhgres');
     BC_DeleteSvc('htdhg');
     BC_DeleteSvc('jf');
     QuarantineFile('C:\Program Files\Internet Explorer\Launcher.exe','');
     BC_DeleteSvc('tscbs.exe');
     QuarantineFile('C:\WINDOWS\system32\tsxas.exe','');
     BC_DeleteSvc('WinHelp32');
     QuarantineFile('C:\Program Files\NOS\bin\getPlus_Helper.dll','');
     QuarantineFile('C:\DOCUME~1\NETWOR~1.NTA\APPLIC~1\wlrph\wlrph.dll','');
     QuarantineFile('C:\WINDOWS\system32\dyfrr.dll','');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\risqpbnfh');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\MMeica');
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\MediaCenter');
      RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\HkmSrv');
     QuarantineFile('C:\WINDOWS\system32\ogvocvtf.dll','');
     DeleteFile('C:\WINDOWS\system32\ogvocvtf.dll');
     DeleteFile('C:\WINDOWS\system32\TqmvtcD.dll');
     DeleteFile('C:\WINDOWS\system32\RfmqtpC.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MediaCenter\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MMeica\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\system32\hkmrunsrv.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\HkmSrv\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\system32\dyfrr.dll');
     DeleteFile('C:\DOCUME~1\ALLUSE~1.WIN\DRM\ugscq.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\irmon\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\system32\WinHelpl.exe');
     DeleteFile('C:\WINDOWS\system32\tsxas.exe');
     DeleteFile('C:\WINDOWS\system32\7A8I913WBU\E001.exe');
     DeleteFile('C:\Program Files\Internet Explorer\Launcher.exe');
     DeleteFile('C:\WINDOWS\system32\regedit32.exe');
     DeleteFile('C:\WINDOWS\yhx.exe');
     DeleteFile('C:\WINDOWS\system32\Tem40.tmp.exe');
     DeleteFile('C:\WINDOWS\system32\393D2B52.EXE');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  6. #5
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    16
    Вес репутации
    34
    После прохода всего диска С утилитой CureIt, сбросились настройки сетевого подключения. Восстановил только сейчас. Вот шлю логи и карантин, полученные ДО прохода всего диска С утилитой CureIt.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    В AVZ меню Файл - Восстановление системы - отметьте галочкой строку:
    9. Удаление отладчиков системных процессов.
    и нажмите кнопку "Выполнить операции"
    NOD запустился? Что с проблемами?

  8. #7
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    16
    Вес репутации
    34
    NOD установился, обновился, работает. Скрытые файлы отображаются. Посторонних процессов в диспетчере задач не наблюдается. Видимо всё! Спасибо, AndreyKa, от души!

    Добавлено через 6 минут

    Вопрос в догонку: как могла эта толпа вирусов поселиться на компьютере за такое короткое время, ведь "проблемных" сайтов не посещали, электронной почтой в этот период не пользовались, аськи и подобного не держим?
    Последний раз редактировалось DrPilulkin; 16.11.2009 в 17:43. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл c:\avz_log.txt.

  10. #9
    Junior Member Репутация
    Регистрация
    11.11.2008
    Сообщений
    16
    Вес репутации
    34
    Вот-с

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Загляните в этот файл. Там дыр для проникновения вредоносных программ на компьютер более чем достаточно.

    Установку обновлений на Windows лучше начать сService Pack 3 для Windows ХР (может потребоваться активация).

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\docume~1\alluse~1.win\drm\ugscq.dll - Trojan-PSW.Win32.Bjlog.dlk
      2. c:\docume~1\networ~1.nta\applic~1\wlrph\wlrph.dll - Trojan-PSW.Win32.Bjlog.dmd ( AVAST4: Win32:Redosdru-D [Trj] )
      3. c:\windows\system32\dyfrr.dll - Trojan-PSW.Win32.Bjlog.dmk
      4. c:\windows\system32\hkmrunsrv.dll - Trojan-Downloader.Win32.FraudLoad.wvyv ( BitDefender: DeepScan:Generic.Peed.2A24B45A )
      5. c:\windows\system32\mswsock32.dll - Trojan-Downloader.Win32.Agent.culv ( DrWEB: Trojan.AVKill.1102, BitDefender: Trojan.Downloader.Agent.AAUX, NOD32: Win32/Agent.QHY trojan, AVAST4: Win32:Malware-gen )
      6. c:\windows\system32\tsxas.exe - Backdoor.Win32.Small.iqi ( DrWEB: DDoS.Attack.230 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) DrPilulkin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Червь и несколько троянов
      От folder в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 20.05.2010, 21:28
    2. Ответов: 1
      Последнее сообщение: 06.03.2010, 15:00
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 09:50
    4. Несколько троянов
      От mem в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.02.2009, 20:41
    5. Похоже на несколько троянов:(
      От Serzh79 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.04.2008, 12:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00744 seconds with 17 queries