Показано с 1 по 18 из 18.

ничего не помогает! trojan-win32-generic (заявка № 63823)

  1. #1
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    14
    Вес репутации
    53

    Thumbs up ничего не помогает! trojan-win32-generic

    1. блокировал лицензионный dr.web
    2. сам закрывает окна любого браузера
    3. не дает запускать или устанавливать другие антивирусы

    что делать? помогите!
    в процессах висит куча файлов неизвестного происхождения...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    14
    Вес репутации
    53
    скачал, запустил, ничего не найдено. прочитал правила, касперский даже не устанавливается, hijack тоже, доктор веб блокирован для обновления, сканер не запускается. AVZ логи прикрепляю
    Последний раз редактировалось dijurkin; 15.12.2009 в 19:31. Причина: прикрепление файлов

  5. #4
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    14
    Вес репутации
    53
    отключился от сетки, запустил kateskiller еще раз, перезагрузился. Доктор начал находить всякие гадости, но сканер по прежнему не запускается. Удалось запустить устаноку касперского!

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Восстановление системы: включено
    Отключите!!! Перезагрузите ПК, выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\ioserwemb.bat','');
     QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .','');
     QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe','');
     QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\csgczogyxjftookskyg.exe .','');
     QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe','');
     QuarantineFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe','');
     TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\pstcmo.exe');
     QuarantineFile('c:\windows\system32\pgvsqgzssfcrnolunclc.exe','');
     TerminateProcessByName('c:\windows\system32\pgvsqgzssfcrnolunclc.exe');
     DeleteFile('c:\windows\system32\pgvsqgzssfcrnolunclc.exe');
     DeleteFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe');
     DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wekynueofjx');
     DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\csgczogyxjftookskyg.exe .');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','tcjyowhskpel');
     DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','iwicxkaqnxrdwuouk');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','binaoudmcf');
     DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','bozsmyncyhaldaty');
     DeleteFile('C:\ioserwemb.bat');
     DeleteFile('C:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    Executerepair(12);
    Executerepair(17);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    затем следующий
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Выполнить еще такой скрипт
    Код:
    var
    i : integer;
    KeyList : TStringList;                      
    begin
    KeyList := TStringList.Create;
    RegKeyEnumKey('HKLM','SYSTEM', KeyList);
    for i := 0 to KeyList.Count-1 do
    if pos('controlset', LowerCase(KeyList[i])) > 0 then
     begin
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    KeyList.Free;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

  7. #6
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    14
    Вес репутации
    53
    отключить не получается, пишет: rundll не является приложением Win32

  8. #7

  9. #8
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    14
    Вес репутации
    53
    скрипты выполнил, браузер работает, стало чуть получше. Логи прикрепляю (почему то они не обновляются)

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Лог Hijack сделать сможете?

    Добавлено через 9 минут

    Попробуйте отключить восстановление системы.
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\pgvsqgzssfcrnolunclc.exe','');
     QuarantineFile('C:\WINDOWS\system32\iwicxkaqnxrdwuouk.exe','');
     QuarantineFile('C:\WINDOWS\system32\ewmkjauopdbroqoysiska.exe','');
     QuarantineFile('C:\WINDOWS\system32\csgczogyxjftookskyg.exe','');
     QuarantineFile('C:\WINDOWS\system32\bozsmyncyhaldaty.exe','');
     QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .','');
     QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe','');
     QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\iwicxkaqnxrdwuouk.exe','');
     QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe .','');
     QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\VU9X7nsE.sys','');
     QuarantineFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe','');
     TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\rxkcqqagbhu.exe');
     QuarantineFile('c:\docume~1\carrida\locals~1\temp\rxkcqqagbhu.exe','');
     TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\pstcmo.exe');
     QuarantineFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe','');
     TerminateProcessByName('c:\docume~1\carrida\locals~1\temp\bozsmyncyhaldaty.exe');
     QuarantineFile('c:\docume~1\carrida\locals~1\temp\bozsmyncyhaldaty.exe','');
     QuarantineFile('C:\ioserwemb.bat','');
     QuarantineFile('C:\sckaramyrxnvk.bat','');
     QuarantineFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000016.bat','');
     QuarantineFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000017.bat','');
     QuarantineFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000018.bat','');
     QuarantineFile('C:\wekynueofjx.bat','');
     QuarantineFile('C:\WINDOWS\Installer\3ef071.msi','');
     QuarantineFile('C:\autorun.inf','');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\wekynueofjx.bat');
     DeleteFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000018.bat');
     DeleteFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000017.bat');
     DeleteFile('C:\System Volume Information\_restore{ECD86570-C855-44B2-8124-955B60F4DD60}\RP1\A0000016.bat');
     DeleteFile('C:\sckaramyrxnvk.bat');
     DeleteFile('C:\ioserwemb.bat');
     DeleteFile('c:\docume~1\carrida\locals~1\temp\bozsmyncyhaldaty.exe');
     DeleteFile('c:\docume~1\carrida\locals~1\temp\pstcmo.exe');
     DeleteFile('c:\docume~1\carrida\locals~1\temp\rxkcqqagbhu.exe');
     DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\bozsmyncyhaldaty.exe');
     DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\VU9X7nsE.sys');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wekynueofjx');
     DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\ewmkjauopdbroqoysiska.exe .');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','bozsmyncyhaldaty');
     DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\iwicxkaqnxrdwuouk.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','iwicxkaqnxrdwuouk');
     DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','binaoudmcf');
     DeleteFile('C:\DOCUME~1\Carrida\LOCALS~1\Temp\rgtokypgepkxrqlsjw.exe .');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','tcjyowhskpel');
     DeleteFile('C:\WINDOWS\system32\bozsmyncyhaldaty.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tenewgtgahyhxs');
     DeleteFile('C:\WINDOWS\system32\csgczogyxjftookskyg.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wekynueofjx');
     DeleteFile('C:\WINDOWS\system32\ewmkjauopdbroqoysiska.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','tcjyowhskpel');
     DeleteFile('C:\WINDOWS\system32\iwicxkaqnxrdwuouk.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','wiskdocqltlvmia');
     DeleteFile('C:\WINDOWS\system32\pgvsqgzssfcrnolunclc.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','sckaramyrxnvk');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    Executerepair(17);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    затем следующий
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    и еще один
    Код:
    var
    i : integer;
    KeyList : TStringList;                      
    begin
    KeyList := TStringList.Create;
    RegKeyEnumKey('HKLM','SYSTEM', KeyList);
    for i := 0 to KeyList.Count-1 do
    if pos('controlset', LowerCase(KeyList[i])) > 0 then
     begin
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    KeyList.Free;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
    Последний раз редактировалось Шапельский Александр; 15.12.2009 в 21:43. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    14
    Вес репутации
    53
    здравствуйте!
    все запускается, доктор обновился. HaJack запустил, скрипты выполнил, логи прикрепляю. Браузер пока сам закрывается, в корневой папке винды лежат непонятные файлы:
    wiadebug
    wiaservc

    содержание:
    2009-12-16 09:44:19:968 1748 738 Misc =========== Logging initialized (build: 7.2.6001.788, tz: +0300) ===========
    2009-12-16 09:44:19:968 1748 738 Misc = Process: C:\WINDOWS\Explorer.EXE
    2009-12-16 09:44:19:968 1748 738 Misc = Module: C:\WINDOWS\system32\wuaueng.dll
    2009-12-16 09:44:19:968 1748 738 Shutdwn Install at shutdown: no updates to install
    2009-12-16 09:44:19:968 1748 738 Shutdwn FATAL: WUCheckForUpdatesAtShutdown failed, hr=80240FFF
    2009-12-16 09:44:43:203 720 f9c Misc =========== Logging initialized (build: 7.2.6001.788, tz: +0300) ===========
    2009-12-16 09:44:43:203 720 f9c Misc = Process: \??\C:\WINDOWS\system32\winlogon.exe
    2009-12-16 09:44:43:203 720 f9c Misc = Module: C:\WINDOWS\system32\wuaueng.dll
    2009-12-16 09:44:43:203 720 f9c Shutdwn FATAL: WUAutoUpdateAtShutdown failed, hr=80240FFF
    Последний раз редактировалось dijurkin; 16.12.2009 в 10:29. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    14
    Вес репутации
    53
    почему-то не сохраняются логи avz

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Просканируйте ПК антивирусом, затем AVPTool. Сделайте логи.

  14. #13
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    14
    Вес репутации
    53
    доктор веб ничего не нашел. Логи AVP прикрепляю. Поведение странное: перед загрузкой винды появляется пустое окно с кнопкой "ок". В проводнике нарисовалась какая то удаленная папка в интернете.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mmmsmoxjl.dll','');
     DeleteFile('E:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  16. #15
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    14
    Вес репутации
    53
    все сделал. касперский удалился

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    В логе чисто, что с проблемой?
    Рекомендую обновить Windows SP2 до Windows SP3, возможно потребуется активация, + установите последние обновления на ОС.

  18. #17
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    14
    Вес репутации
    53
    спасибо, проблема вроде бы решена. блин как я вам благодарен - 127944093 дмитрий. торгую шинами, пишите anytime

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 49
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\docume~1\carrida\locals~1\temp\iwicxkaqnxrdwuou k.exe - Trojan.Win32.Chydo.qk
      2. c:\windows\system32\bozsmyncyhaldaty.exe - Trojan.Win32.Chydo.qk
      3. c:\windows\system32\ewmkjauopdbroqoysiska.exe - Trojan.Win32.Chydo.qk
      4. c:\windows\system32\iwicxkaqnxrdwuouk.exe - Trojan.Win32.Chydo.qk


  • Уважаемый(ая) dijurkin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 10.06.2012, 14:59
    2. HEUR:Trojan.Win32.Generic или UDS:DangerousObject.Multi.Generic
      От sento в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.01.2012, 14:19
    3. Ответов: 2
      Последнее сообщение: 11.06.2011, 17:08
    4. Помогите, Trojan Win32 Inject aohy, ничего не помогает
      От Goodshine в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.02.2011, 11:45
    5. Worm.Win32.Generic И Trojan.Win32.Generic (заявка №42923)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 29.12.2010, 00:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00874 seconds with 19 queries