Показано с 1 по 19 из 19.

Прошу помочь избавиться от трояна (заявка № 6183)

  1. #1
    Sergey100
    Guest

    Прошу помочь избавиться от трояна

    Два дня назад начались сыпаться сообщения от Symantec Emai Proxy (Norton Antivirus) с сообщениями о рассылке с моего email. Пробовал уничтожать найденный троян, но после удаления он опять восстанавливается.
    Сообщения появляются каждую секунду, невозможно работать на компьютере
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Sergey100
    Пробовал уничтожать найденный троян, но после удаления он опять восстанавливается.
    пофиксите с помощью HijackThis следующие строки:
    (если не ставили эту страницу сами
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gw26.enals.com/fw/enter.asp
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll

    пришлите по правилам форума файлы:
    C:\WINDOWS\UpdReg.EXE
    C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
    C:\WINDOWS\TEMP\arm5EE8.tmp

  4. #3
    Sergey100
    Guest
    Отправил Вам данные файлы

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от Sergey100
    Отправил Вам данные файлы
    пришел только ОДИН файл:
    C:\WINDOWS\TEMP\arm5EE8.tmp - там червь Email-Worm.Win32.Scano.ar, его нужно удалить.
    а другие файлы не найдены? искали через AVZ?

  6. #5
    Sergey100
    Guest
    C:\WINDOWS\TEMP\arm5EE8.tmp - там червь Email-Worm.Win32.Scano.ar, его нужно удалить.
    а другие файлы не найдены? искали через AVZ?[/quote]

    Пробовал удалять через AVZ червь Email-worm.win32.scano.ar, после удаления все равно программа его находит.......кроме этого файла другие файлы не найдены.
    Пробовал сканировать с помощью Outpost Firewall, находит два файла Scano и Perf, которые тоже не получается удалить

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -запустите AVZ > Файл > Добавление в карантин по списку > введите указанные МОСТ
    C:\WINDOWS\UpdReg.EXE
    C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
    C:\WINDOWS\TEMP\arm5EE8.tmp
    -попробуйте с включённым AVZ Guard или с включенным Блокировать работу RootKit...
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Снова пришел один C:\WINDOWS\TEMP\arm5EE8.tmp
    Попробуйте такой алгоритм:
    1. Отключите компютер от Интернет/локальной сети.
    2. Закройте все программы в том числе антивирус и browser hijack retaliator.
    3. Запустите AVZ.
    4. Включите AVZGuard.
    5. Удалить файл C:\WINDOWS\TEMP\arm5EE8.tmp через AVZ меню Файл->«Отложенное удаление».
    6. Меню файл – Восстановление системы – установите галочку «Удаление отладчиков системных процессов». Нажмите кнопку Выполнить …
    7. Перезагрузите компьютер, не выходя из AVZ и не выключая AVZ Guard

  9. #8
    Sergey100
    Guest
    Цитата Сообщение от AndreyKa
    Снова пришел один C:\WINDOWS\TEMP\arm5EE8.tmp
    Попробуйте такой алгоритм:
    1. Отключите компютер от Интернет/локальной сети.
    2. Закройте все программы в том числе антивирус и browser hijack retaliator.
    3. Запустите AVZ.
    4. Включите AVZGuard.
    5. Удалить файл C:\WINDOWS\TEMP\arm5EE8.tmp через AVZ меню Файл->«Отложенное удаление».
    6. Меню файл – Восстановление системы – установите галочку «Удаление отладчиков системных процессов». Нажмите кнопку Выполнить …
    7. Перезагрузите компьютер, не выходя из AVZ и не выключая AVZ Guard


    После удаления файла
    arm5EE8.tmp по данному алгоритму выведен из строя Norton (запрос об активации). Просканировал еще раз программой Outpost Firewall, червь Scano больше не обнаруживается, но все еще находит и не удается удалить Perf......

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Sergey100
    После удаления файла
    arm5EE8.tmp по данному алгоритму выведен из строя Norton (запрос об активации). Просканировал еще раз программой Outpost Firewall, червь Scano больше не обнаруживается, но все еще находит и не удается удалить Perf......
    Туда ему и дорога. Norton не лучший вариант. Хотя, эффект не ожиданный.
    Где (в каком файле) Outpost находит Perf... Приведите здесь его сообщение полностью.

  11. #10
    Sergey100
    Guest
    Цитата Сообщение от AndreyKa
    Туда ему и дорога. Norton не лучший вариант. Хотя, эффект не ожиданный.
    Где (в каком файле) Outpost находит Perf... Приведите здесь его сообщение полностью.

    Просканировал еще раз при помощи Outpost:
    Всего выявило 5 упоминаний в реестре:

    HKLM\software\Microsoft\Windows Nt\CurrentVersion\Winlogon\Notify\arm32reg\Startup

    HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg\Imperso nate

    HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg\DllName

    HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg\Asynchr onous

    HKLM\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    а)Набрать в командной строке и выполнить следующую команду:
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v Debugger /f
    б) Перезагрузить систему.
    в) Запустить утилиту Dr.Web CureIt. Проверяемая директория - %SystemRoot% (по умолчанию С:\WINDOWS). Действие для объектов зараженных Win32.HLLM.Perf - удалить
    Скачать Dr.Web CureIt http://download.drweb.com/drweb+cureit/

  13. #12
    Sergey100
    Guest
    Цитата Сообщение от SDA
    а)Набрать в командной строке и выполнить следующую команду:
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v Debugger /f
    б) Перезагрузить систему.
    в) Запустить утилиту Dr.Web CureIt. Проверяемая директория - %SystemRoot% (по умолчанию С:\WINDOWS). Действие для объектов зараженных Win32.HLLM.Perf - удалить
    Скачать Dr.Web CureIt http://download.drweb.com/drweb+cureit/

    Ввел команду удаления, проверил с помощью утилиты Dr.Web CureIt......вирусы обнаружены не были. Запускаю Outpost Firewall, находит опять 5 совпадений в реестре по Perf

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Сделайте ещё раз лог HijackThis.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Sergey100
    Ввел команду удаления, проверил с помощью утилиты Dr.Web CureIt......вирусы обнаружены не были. Запускаю Outpost Firewall, находит опять 5 совпадений в реестре по Perf
    MOCT уже писал:
    Цитата Сообщение от MOCT
    пофиксите с помощью HijackThis следующие строки:
    (если не ставили эту страницу сами
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gw26.enals.com/fw/enter.asp
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
    Это было сделано?
    Если да, то давайте новый лог HijackThis.

  16. #15
    Sergey100
    Guest
    Высылаю еще раз log
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Воно не вмерло:
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gw26.enals.com/fw/enter.asp
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Запустите AVZ, включите AVZGuard, выберите пункт "Файл\Отложенное удаление файла", скопируйте в поле "Имя файла" эту строчку:
    C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
    Нажмите кнопку Открыть.
    После этого не выключая AVZGuard уйдите на перезагрузку.

    PS. HijackThis не справляется с этой гадостью. Пофиксить в нем получится только после удаления файла.

  19. #18
    Sergey100
    Guest
    Похоже на то, что получилось удалить :-))
    Огромное спасибо!!!! Благодарен всем за оказанную помощь


    Может быть сделать контрольную проверку?
    Outpost показывает,что все чисто
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    В профиль аналогично
    В смысле чисто.

  • Уважаемый(ая) Sergey100, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Прошу помочь избавиться от порно-баннера
      От PEPPER в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.06.2010, 18:28
    2. Ответов: 4
      Последнее сообщение: 22.02.2009, 08:33
    3. прошу помочь избавиться от winhlp32
      От tautovo в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 07:51
    4. Ответов: 7
      Последнее сообщение: 19.02.2009, 15:30
    5. Ответов: 4
      Последнее сообщение: 05.02.2009, 12:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00951 seconds with 17 queries