Показано с 1 по 12 из 12.

System Alert! в трее (заявка № 8333)

  1. #1
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    63

    Question System Alert! в трее

    Помогите обезвредить троян, пожалуйста! Недавно у меня на компьютере самовольно установилась программа SpyDawn, а вместе с ней постоянно стало вылезать сообщение, что на компьютере обнаружены опасные программы. SpyDawn удалил (вроде бы), но сообщение все равно выскакивает! Прошелся касперским, CureIt'ом, AVZ - не помогло.
    Да, есть подозрение что это не единственный троян на машине, потому что через Wi-Fi соединение идет какой-то лишний траффик.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    AVZ -> Файл -> Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
     QuarantineFile('appmgmts.dll','');
     QuarantineFile('C:\WINDOWS\system32\geplxss.dll','');
     QuarantineFile('C:\WINDOWS\system32\cmkrt.dll','');
    CreateQurantineArchive(GetAVZDirectory+'virusinfo_8333_quarantine.zip');
    RebootWindows(true);
    end.
    После перезагрузки, в папке AVZ найти файл virusinfo_8333_quarantine.zip и прислать его нам, через эту форму.

  4. #3
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    63
    Выслал файлы в карантине в соответствии с правилами.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Skrim Посмотреть сообщение
    Выслал файлы в карантине в соответствии с правилами.
    Файлы пришли, там два зловреда:
    Settings\partnership.dll = Trojan-Proxy.Win32.Xorpix.ar
    system32\geplxss.dll = Trojan.Win32.Dialer.cs
    cmkrt.dll - тоже зловред
    далее необходимо выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     DeleteFile('C:\WINDOWS\system32\geplxss.dll');
     DeleteFile('C:\WINDOWS\system32\cmkrt.dll');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После этого сдалайте новые логи по правилам - для контроля и изучения, что еще могло остаться

  6. #5
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    63
    Ура, значок в трее исчез! СПАСИБО!!! НО! Из сети продолжает что-то качаться, причем, как показывает программа DUMETER, в нехилых масштабах - скорость загрузки порой доходит до 15 кб/сек, а отгрузки - до 18 (то есть съедает больше половины моего траффика)! Поэтому многие сайты не открываются, или открываются через раз (тот же viruslist.ru, к примеру). Помогите разобраться, пожалуйста, раньше такого не было.
    В связи с чем высылаю обновленные логи:
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Skrim Посмотреть сообщение
    Ура, значок в трее исчез! СПАСИБО!!! НО! Из сети продолжает что-то качаться, причем, как показывает программа DUMETER, в нехилых масштабах - скорость загрузки порой доходит до 15 кб/сек, а отгрузки - до 18 (то есть съедает больше половины моего траффика)! Поэтому многие сайты не открываются, или открываются через раз (тот же viruslist.ru, к примеру). Помогите разобраться, пожалуйста, раньше такого не было.
    В связи с чем высылаю обновленные логи:
    Я поэтому и просил повторные логи - у вас "зверинец" на ПК настоящий, его лучше лечит в несколько приемов. Итак, вторая операция - выполните скрипт:
    Код:
    begin
     // Постановка задания
     BC_QrSvc('ntio256');
     BC_DeleteSvc('ntio256');
     BC_DeleteFile('C:\WINDOWS\system32\protector.exe');
     BC_DeleteFile('C:\WINDOWS\system32\ntio256.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\huftalvy.exe');
     BC_DeleteFile('C:\WINDOWS\Temp\famtltxs.exe');
     BC_DeleteFile('C:\Documents and Settings\MiB\Local Settings\Temp\maindll.dll');
     // Активация
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     // Перезагрузка
     RebootWindows(true);
    end.
    После этого пришлите содержимое карантина и сделайте логи заново. И заодно посмотрите, пропадет паразитный трафик или нет

  8. #7
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    63
    Ура-ура-ура, паразитный трафик исчез! Теперь инет тоже работает как надо Уфф, ну теперь видимых претензий к системе вроде бы нет, но на всякий случай снова высылаю логи и содержимое карантина.
    Заодно, чтобы такого "зверинца" больше не повторилось, посоветуйте пожалуйста антивирус, который :
    а) был бы не требовательным к ресурсам (с касперским, например, у меня ОЧЕНЬ СИЛЬНО замедлялась загрузка, поэтому почти все его компоненты защиты пришлось отключить);
    б)наличествовала бесплатная или триал-версия;
    и файрволл
    а) тоже не жрал слишком много ресурсов(сейчас стоит встроенный в модем Zyxel P660HTW, но думается, его недостаточно)
    б)была бы бесплатная или триал-версия
    в)простой в настройке, потому что в сетевых технологиях я пока не очень разбираюсь
    Еще раз спасибо за оперативность!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    http://www.avast.com/eng/download-avast-home.html - из бесплатных один из лучших;
    http://www.zonealarm.com/store/conte...try=US&lang=en
    ZoneAlarm®
    Free Version , если хочется получить PRO (очень мощный фаервол, один из лучших) то сюда - предварительно зарегистрировавшись http://forum.ru-board.com/topic.cgi?forum=35&topic=40#1
    По логам вроде бы все нормально, но Олег скажет окончательно, да советую поменять Internet Explorer на 7 версию.

  10. #9
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    63
    Все, побежал качать!

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Skrim Посмотреть сообщение
    Все, побежал качать!
    Зверь убился. Я советую напоследок выполнить скрипт:
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\AegisP.sys','');
     QuarantineFile('C:\WINDOWS\system32\main.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\s24trans.sys','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe','');
     ClearHostsFile;
    end.
    и прислать то, что накопилось в карантине согласно правилам (там от скрипта из моего поста #6 что-то могло попасть, и от этого). Кроме того, этот скрипт зачитстит файл Hosts, который попртили зловреды.

  12. #11
    Junior Member Репутация
    Регистрация
    10.03.2007
    Сообщений
    6
    Вес репутации
    63
    Скрипт выполнил, но я раньше поставил Avast, и он при проверке системы успел покопаться в карантине AVZ, нашел там кучу вирей и удалил их, поэтому AVZ при выполнении скрипта написал в протоколе вот что (хотя может так и должно быть?):
    ---------------------------------------------------------------------
    Файл "C:\WINDOWS\system32\DRIVERS\AegisP.sys" успешно помещен в карантин
    Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\AegisP.sys
    Файл "C:\WINDOWS\system32\main.sys" успешно помещен в карантин
    Выполнен карантин файла C:\WINDOWS\system32\main.sys
    Файл "C:\WINDOWS\system32\DRIVERS\s24trans.sys" успешно помещен в карантин
    Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\s24trans.sys
    Ошибка карантина файла "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0ABCV5OP\60787[1].exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    -----------------------------------------------------------------------
    Но все равно посылаю карантин что получилось.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\документы\\settings\\partnership.dll - Trojan.Win32.Agent.oh (DrWEB: BackDoor.Uragan)
      2. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\0abcv5op\\60787[1].exe - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)
      3. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\0abcv5op\\60787[2].exe - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)
      4. c:\\windows\\system32\\cmkrt.dll - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)
      5. c:\\windows\\system32\\geplxss.dll - Trojan.Win32.Dialer.cs (DrWEB: Trojan.Fakealert.25
      6. c:\\windows\\system32\\main.sys - Trojan.Win32.Agent.ady (DrWEB: Trojan.NtRootKit.222)
      7. c:\\windows\\system32\\ntio256.sys - Rootkit.Win32.Agent.cf (DrWEB: Trojan.Sklog)
      8. c:\\windows\\system32\\protector.exe - Trojan-Proxy.Win32.Wopla.ac (DrWEB: Trojan.Sklog)
      9. c:\\windows\\temp\\famtltxs.exe - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)
      10. c:\\windows\\temp\\huftalvy.exe - SpamTool.Win32.Agent.r (DrWEB: Trojan.Qhost.45065)


  • Уважаемый(ая) Skrim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. В трее сообщение System Alert
      От lesik_1971 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:21
    2. System Alert! в трее, помогите вылечить
      От projecto® в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 02:08
    3. System alert в трее
      От pakat в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 01:39
    4. System Alert! в трее
      От Арслан в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 26.02.2007, 12:05
    5. System Alert! в трее.
      От Marija в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 29.01.2007, 08:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00010 seconds with 20 queries