Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

После проверки вновь обнаружил AppInit_DLL [Trojan-Ransom.Win32.Cidox.gen ] (заявка № 65666)

  1. #1
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30

    Exclamation После проверки вновь обнаружил AppInit_DLL [Trojan-Ransom.Win32.Cidox.gen ]

    С Новым Годом, друзья!
    В новогоднюю ночь решил окончательно избавиться от вредоносных программ на своем компьютере.
    Выполнил все проверки на основе Ваших Правил (предварительно скачав необходимые утилиты с Вашего ресурса).
    В ходе проверки были найдены несколько вредоносных файлов: удалил/лечил.
    Перегрузил машину раза два, проверив работоспособность ранее установленных программ. Все работала как надо. Однако, решив проверить реестр на наличие библиотеки AppInit_DLL вновь, к сожалению, обнаружил ее по адресу: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CurentVersion\Windows.
    Стало быть, на компьютере по-прежнему существует "троян" или "червь"!!! (хотя базы все обновлены у KIS 9.0.0.736, у avz4, у AVPTool).
    Что делать, подскажите, пожалуйста!
    Всех с Новым Годом! Удачи! Исполнения Желаний!
    Последний раз редактировалось pig; 01.01.2010 в 19:42. Причина: карантин в теме - моветон

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     DelBHO('{3FC0460E-A9D3-40C2-878B-CFA16C6E1262}');
     DelBHO('{E908B145-C847-4e85-B315-07E2E70DECF8}');
     DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\srtrorou.sys','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=65666

    4. Пофиксите в HijackThis:

    O17 - HKLM\System\CCS\Services\Tcpip\..\{075B4A4A-712D-4F1B-B1A9-8F7C5A971D28}: NameServer = 85.255.115.75 85.255.112.109
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2A2B975B-DBA0-48C7-9DB3-ACAAE86446AD}: NameServer = 85.255.115.75,85.255.112.109
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4CC1681F-1A73-4850-A573-635C3658C478}: NameServer = 208.67.222.222,208.67.220.220,85.255.115.75,85.255 .112.109
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EEBF4C65-2BDA-4C9D-BB7D-C65D72898CF3}: NameServer = 85.255.115.75,85.255.112.109
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F5316B85-A537-47CC-85A0-8B8FECE81BF4}: NameServer = 85.255.115.75,85.255.112.109
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.75 85.255.112.109
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.75 85.255.112.109
    O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.115.75 85.255.112.109
    O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.115.75 85.255.112.109
    O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.115.75 85.255.112.109
    O17 - HKLM\System\CS6\Services\Tcpip\..\{075B4A4A-712D-4F1B-B1A9-8F7C5A971D28}: NameServer = 85.255.115.75 85.255.112.109
    O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.115.75 85.255.112.109
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.75 85.255.112.109
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    5. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30
    Спасибо, Александра, за скорый ответ и поздравления!

    Добавлено через 2 часа 14 минут

    Сделал все, как Вы рекомендовали.
    Стоит ли мне выслать Вам новые архивы с логами?
    После сканирования HiJackThis в логе обнаружил ключи, которые удалял, именно:

    "O17 - HKLM\System\CCS\Services\Tcpip\..\{075B4A4A-712D-4F1B-B1A9-8F7C5A971D28}: NameServer = 85.255.115.75 85.255.112.109
    O17 - HKLM\System\CS6\Services\Tcpip\..\{075B4A4A-712D-4F1B-B1A9-8F7C5A971D28}: NameServer = 85.255.115.75 85.255.112.109".

    Что теперь делать?
    Последний раз редактировалось olegterra; 01.01.2010 в 21:18. Причина: Добавлено

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Все по пунктам. Прислать карантин (если туда что-то попало) и сделать повторные логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30
    Высылаю. На съемном диске К опять что-то нашлось, хотя я его проверял Касперским и уже уничтожал найденное.
    Последний раз редактировалось Shu_b; 02.01.2010 в 09:33.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteService('srtrorou');
     DeleteFile('C:\WINDOWS\system32\drivers\srtrorou.sys');
     DeleteFile('K:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Пофиксите в HijackThis:

    O17 - HKLM\System\CCS\Services\Tcpip\..\{075B4A4A-712D-4F1B-B1A9-8F7C5A971D28}: NameServer = 85.255.115.75 85.255.112.109
    O17 - HKLM\System\CS6\Services\Tcpip\..\{075B4A4A-712D-4F1B-B1A9-8F7C5A971D28}: NameServer = 85.255.115.75 85.255.112.109
    4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30
    Сделано.

  9. #8
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30
    В реестре снова обнаружил appinit_dll...
    ???

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Выполните http://virusinfo.info/showthread.php?t=3519

    Цитата Сообщение от olegterra Посмотреть сообщение
    В реестре снова обнаружил appinit_dll...
    ???
    Этот?

    Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
    Сердце решает кого любить... Судьба решает с кем быть...

  11. #10
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30
    К сожалению, не отследил этого. Просто нашел в реестре и удалил.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Это от Касперского и он не удалится.
    Сердце решает кого любить... Судьба решает с кем быть...

  13. #12
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30
    !!! И что делать?.. Деинсталлировать Касперского или пересаживать систему?

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Это нормально и ничего делать не нужно. Вы загрузили архив?
    Сердце решает кого любить... Судьба решает с кем быть...

  15. #14
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30
    Да, загрузил.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Имя у архива какое?
    Сердце решает кого любить... Судьба решает с кем быть...

  17. #16
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30
    virusinfo_files_MASTER-YC6F7I3T.zip

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    В логах активного заражения не увидела. Что с проблемами?

    Цитата Сообщение от olegterra Посмотреть сообщение
    virusinfo_files_MASTER-YC6F7I3T.zip
    Ответ http://virusinfo.info/showpost.php?p...postcount=4985
    Сердце решает кого любить... Судьба решает с кем быть...

  19. #18
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30
    Вероятно, проблема из активной временно перешла в категорию скрытой. Я так понимаю, что проблема таится в самом Касперском (в одном из его файлов)?
    Проверил реестр (appinit_dll пока нет).

  20. #19
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    17
    Вес репутации
    30
    Касперский 2010 перестал обновляться вскоре после лечения. Пересаживал его два раза, восстанавливал. Ничего не могу поделать. Пишет следующее: 08.01.10 19:12:13 Ошибка при подключении к источнику обновлений ftp://downloads1.kaspersky-labs.com:21/ и по остальным адресам тоже самое. Что предпринять?

    Добавлено через 2 минуты

    Из строки Оперы ввожу адрес базы, страница оказывается недоступной. Хотя я знаю точно люди из соседней квартиры успешно обновляют своего Касперского в автоматическом режиме с тех же баз.
    Последний раз редактировалось olegterra; 08.01.2010 в 22:56. Причина: Добавлено

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Сделайте еще раз полный комплет логов по правилам.
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) olegterra, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 13.07.2012, 21:30
    2. Вновь и вновь trojan-dropper.win32.autoit.ad
      От prostoaf в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.05.2010, 10:45
    3. Файл вновь появляется после удаления
      От cerberus в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.04.2010, 21:30
    4. Трояны.После удаления появляются вновь.
      От Var Qurion в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 08:32
    5. Ответов: 13
      Последнее сообщение: 05.01.2008, 14:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00487 seconds with 16 queries