Помогите обезвредить троян, пожалуйста! Недавно у меня на компьютере самовольно установилась программа SpyDawn, а вместе с ней постоянно стало вылезать сообщение, что на компьютере обнаружены опасные программы. SpyDawn удалил (вроде бы), но сообщение все равно выскакивает! Прошелся касперским, CureIt'ом, AVZ - не помогло.
Да, есть подозрение что это не единственный троян на машине, потому что через Wi-Fi соединение идет какой-то лишний траффик.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выслал файлы в карантине в соответствии с правилами.
Файлы пришли, там два зловреда:
Settings\partnership.dll = Trojan-Proxy.Win32.Xorpix.ar
system32\geplxss.dll = Trojan.Win32.Dialer.cs
cmkrt.dll - тоже зловред
далее необходимо выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\geplxss.dll');
DeleteFile('C:\WINDOWS\system32\cmkrt.dll');
ExecuteSysClean;
RebootWindows(true);
end.
После этого сдалайте новые логи по правилам - для контроля и изучения, что еще могло остаться
Ура, значок в трее исчез! СПАСИБО!!! НО! Из сети продолжает что-то качаться, причем, как показывает программа DUMETER, в нехилых масштабах - скорость загрузки порой доходит до 15 кб/сек, а отгрузки - до 18 (то есть съедает больше половины моего траффика)! Поэтому многие сайты не открываются, или открываются через раз (тот же viruslist.ru, к примеру). Помогите разобраться, пожалуйста, раньше такого не было.
В связи с чем высылаю обновленные логи:
Ура, значок в трее исчез! СПАСИБО!!! НО! Из сети продолжает что-то качаться, причем, как показывает программа DUMETER, в нехилых масштабах - скорость загрузки порой доходит до 15 кб/сек, а отгрузки - до 18 (то есть съедает больше половины моего траффика)! Поэтому многие сайты не открываются, или открываются через раз (тот же viruslist.ru, к примеру). Помогите разобраться, пожалуйста, раньше такого не было.
В связи с чем высылаю обновленные логи:
Я поэтому и просил повторные логи - у вас "зверинец" на ПК настоящий, его лучше лечит в несколько приемов. Итак, вторая операция - выполните скрипт:
Ура-ура-ура, паразитный трафик исчез! Теперь инет тоже работает как надо Уфф, ну теперь видимых претензий к системе вроде бы нет, но на всякий случай снова высылаю логи и содержимое карантина.
Заодно, чтобы такого "зверинца" больше не повторилось, посоветуйте пожалуйста антивирус, который :
а) был бы не требовательным к ресурсам (с касперским, например, у меня ОЧЕНЬ СИЛЬНО замедлялась загрузка, поэтому почти все его компоненты защиты пришлось отключить);
б)наличествовала бесплатная или триал-версия;
и файрволл
а) тоже не жрал слишком много ресурсов(сейчас стоит встроенный в модем Zyxel P660HTW, но думается, его недостаточно)
б)была бы бесплатная или триал-версия
в)простой в настройке, потому что в сетевых технологиях я пока не очень разбираюсь
Еще раз спасибо за оперативность!
Зверь убился. Я советую напоследок выполнить скрипт:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AegisP.sys','');
QuarantineFile('C:\WINDOWS\system32\main.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\s24trans.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe','');
ClearHostsFile;
end.
и прислать то, что накопилось в карантине согласно правилам (там от скрипта из моего поста #6 что-то могло попасть, и от этого). Кроме того, этот скрипт зачитстит файл Hosts, который попртили зловреды.
Скрипт выполнил, но я раньше поставил Avast, и он при проверке системы успел покопаться в карантине AVZ, нашел там кучу вирей и удалил их, поэтому AVZ при выполнении скрипта написал в протоколе вот что (хотя может так и должно быть?):
---------------------------------------------------------------------
Файл "C:\WINDOWS\system32\DRIVERS\AegisP.sys" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\AegisP.sys
Файл "C:\WINDOWS\system32\main.sys" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\system32\main.sys
Файл "C:\WINDOWS\system32\DRIVERS\s24trans.sys" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\s24trans.sys
Ошибка карантина файла "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
-----------------------------------------------------------------------
Но все равно посылаю карантин что получилось.
c:\\documents and settings\\all users\\документы\\settings\\partnership.dll - Trojan.Win32.Agent.oh (DrWEB: BackDoor.Uragan)
c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\0abcv5op\\60787[1].exe - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)
c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\0abcv5op\\60787[2].exe - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: