Добрый день. Никак не могу убить трояны, т.к. они постоянно восстанавливаются. Cureit находит Trojan.Packed.20385 Trojan.MultiDrop1.17819 И Tool.SMSSend.9
Логи прилагаю. Спасибо заранее.
Помогите пожалуйста убить трояны.
Добрый день. Никак не могу убить трояны, т.к. они постоянно восстанавливаются. Cureit находит Trojan.Packed.20385 Trojan.MultiDrop1.17819 И Tool.SMSSend.9
Логи прилагаю. Спасибо заранее.
Последний раз редактировалось Sergant07; 15.10.2010 в 12:41.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в hijackthis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\d69c0346.exe,\\?\globalroot\systemroot\system32\oxgvzBa.exe,\\?\globalroot\systemroot\system32\4852Jt9.exe,\\?\globalroot\systemroot\system32\PszBFMa.exe,\\?\globalroot\systemroot\system32\t3WmJQd.exe,\\?\globalroot\systemroot\system32\kwoSufs.exe,\\?\globalroot\systemroot\system32\4Hyis7i.exe,\\?\globalroot\systemroot\system32\TnbwEBh.exe,\\?\globalroot\systemroot\system32\j5rpSet.exe,\\?\globalroot\systemroot\system32\GV6kkF5.exe,\\?\globalroot\systemroot\system32\SItFv5x.exe,\\?\globalroot\systemroot\system32\lifNIiL.exe,\\?\globalroot\systemroot\system32\pzxbk2A.exe,\\?\globalroot\systemroot\system32\kvg8esO.exe,\\?\globalroot\systemroot\system32\s8p3JLS.exe,\\?\globalroot\systemroot\system32\rIiO0kx.exe,\\?\globalroot\systemroot\system32\jaFQ6nA.exe,\\?\globalroot\systemroot\system32\QL9lgBc.exe,\\?\globalroot\systemroot\system32\BlriUas.exe,\\?\globalroot\systemroot\system32\7ZN523M.exe,\\?\globalroot\systemroot\system32\
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\focusmouses.dll',''); QuarantineFile('C:\WINDOWS\system32\t3WmJQd.exe',''); QuarantineFile('C:\WINDOWS\system32\s8p3JLS.exe',''); QuarantineFile('C:\WINDOWS\system32\rIiO0kx.exe',''); QuarantineFile('C:\WINDOWS\system32\pzxbk2A.exe',''); QuarantineFile('C:\WINDOWS\system32\oxgvzBa.exe',''); QuarantineFile('C:\WINDOWS\system32\lifNIiL.exe',''); QuarantineFile('C:\WINDOWS\system32\kwoSufs.exe',''); QuarantineFile('C:\WINDOWS\system32\kvg8esO.exe',''); QuarantineFile('C:\WINDOWS\system32\jaFQ6nA.exe',''); QuarantineFile('C:\WINDOWS\system32\j5rpSet.exe',''); QuarantineFile('C:\WINDOWS\system32\hp6ns0n.exe',''); QuarantineFile('C:\WINDOWS\system32\TnbwEBh.exe',''); QuarantineFile('C:\WINDOWS\system32\SItFv5x.exe',''); QuarantineFile('C:\WINDOWS\system32\PszBFMa.exe',''); QuarantineFile('C:\WINDOWS\system32\QL9lgBc.exe',''); QuarantineFile('C:\WINDOWS\system32\GV6kkF5.exe',''); QuarantineFile('C:\WINDOWS\system32\BlriUas.exe',''); QuarantineFile('C:\WINDOWS\system32\7ZN523M.exe',''); QuarantineFile('C:\WINDOWS\system32\4Hyis7i.exe',''); QuarantineFile('C:\WINDOWS\system32\4852Jt9.exe',''); QuarantineFile('C:\WINDOWS\system32\12ss1pz.exe',''); QuarantineFile('C:\WINDOWS\system32\d69c0346.exe',''); DeleteFile('C:\WINDOWS\system32\d69c0346.exe'); DeleteFile('C:\WINDOWS\system32\12ss1pz.exe'); DeleteFile('C:\WINDOWS\system32\4852Jt9.exe'); DeleteFile('C:\WINDOWS\system32\4Hyis7i.exe'); DeleteFile('C:\WINDOWS\system32\7ZN523M.exe'); DeleteFile('C:\WINDOWS\system32\BlriUas.exe'); DeleteFile('C:\WINDOWS\system32\GV6kkF5.exe'); DeleteFile('C:\WINDOWS\system32\QL9lgBc.exe'); DeleteFile('C:\WINDOWS\system32\PszBFMa.exe'); DeleteFile('C:\WINDOWS\system32\SItFv5x.exe'); DeleteFile('C:\WINDOWS\system32\TnbwEBh.exe'); DeleteFile('C:\WINDOWS\system32\hp6ns0n.exe'); DeleteFile('C:\WINDOWS\system32\j5rpSet.exe'); DeleteFile('C:\WINDOWS\system32\jaFQ6nA.exe'); DeleteFile('C:\WINDOWS\system32\kvg8esO.exe'); DeleteFile('C:\WINDOWS\system32\kwoSufs.exe'); DeleteFile('C:\WINDOWS\system32\lifNIiL.exe'); DeleteFile('C:\WINDOWS\system32\oxgvzBa.exe'); DeleteFile('C:\WINDOWS\system32\pzxbk2A.exe'); DeleteFile('C:\WINDOWS\system32\rIiO0kx.exe'); DeleteFile('C:\WINDOWS\system32\s8p3JLS.exe'); DeleteFile('C:\WINDOWS\system32\t3WmJQd.exe'); DeleteFile('C:\System Volume Information\_restore{2B5854BD-1D01-4A45-BC76-2C8FB9F658FB}\RP13\A0002523.exe'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW',2 ,2 ,true); BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
+ Сделайте новые логи
Скрипт выполнил.Логи прилагаю.
Последний раз редактировалось Sergant07; 15.10.2010 в 12:41.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\aTNHE3H.exe',''); QuarantineFile('C:\WINDOWS\system32\Va5ZAPm.exe',''); QuarantineFile('C:\WINDOWS\system32\FLic6H3.exe',''); QuarantineFile('C:\WINDOWS\system32\KQaHSDo.exe',''); DeleteFile('C:\WINDOWS\system32\aTNHE3H.exe'); DeleteFile('C:\WINDOWS\system32\Va5ZAPm.exe'); DeleteFile('C:\WINDOWS\system32\FLic6H3.exe'); DeleteFile('C:\WINDOWS\system32\KQaHSDo.exe'); QuarantineFile('C:\WINDOWS\system32\9bWMKDR.exe',''); QuarantineFile('C:\WINDOWS\system32\kFNUoND.exe',''); QuarantineFile('C:\WINDOWS\system32\WTLQSgo.exe',''); QuarantineFile('C:\WINDOWS\system32\TCuyRkC.exe',''); DeleteFile('C:\WINDOWS\system32\9bWMKDR.exe'); DeleteFile('C:\WINDOWS\system32\kFNUoND.exe'); DeleteFile('C:\WINDOWS\system32\WTLQSgo.exe'); DeleteFile('C:\WINDOWS\system32\TCuyRkC.exe'); QuarantineFile('C:\WINDOWS\system32\QU3I0ON.exe',''); QuarantineFile('C:\WINDOWS\system32\wzF1eDD.exe',''); QuarantineFile('C:\WINDOWS\system32\d3Wjff7.exe',''); QuarantineFile('C:\WINDOWS\system32\Cq3FJ3m.exe',''); DeleteFile('C:\WINDOWS\system32\QU3I0ON.exe'); DeleteFile('C:\WINDOWS\system32\wzF1eDD.exe'); DeleteFile('C:\WINDOWS\system32\d3Wjff7.exe'); DeleteFile('C:\WINDOWS\system32\Cq3FJ3m.exe'); QuarantineFile('C:\WINDOWS\system32\XojuiL5.exe',''); QuarantineFile('C:\WINDOWS\system32\Q3fjbFH.exe',''); QuarantineFile('C:\WINDOWS\system32\0riK3L7.exe',''); QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat',''); DeleteFile('C:\WINDOWS\system32\XojuiL5.exe'); DeleteFile('C:\WINDOWS\system32\Q3fjbFH.exe'); DeleteFile('C:\WINDOWS\system32\0riK3L7.exe'); DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat'); QuarantineFile('C:\WINDOWS\system32\focusmouses.dll',''); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог RSIT
Выполнил.Повторный лог RSIT прилагаю.
Последний раз редактировалось Sergant07; 15.10.2010 в 12:41.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DelBHO('{24783612-0199-4A37-B205-847853E151C6}'); DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}'); DeleteFile('C:\WINDOWS\system32\focusmouses.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Выполнил.Компьютер начал работать быстрее.Лог прилагаю.
Последний раз редактировалось Sergant07; 15.10.2010 в 12:41.
Профиксите в HijackThis как "профиксить в HiJackThis"
больше подозрительного нет.Код:O2 - BHO: VixD Net edt. Class - {24783612-0199-4A37-B205-847853E151C6} - C:\WINDOWS\system32\focusmouses.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O20 - Winlogon Notify: ddsntdll - ddsntdll.d (file missing)
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Большое спасибо за помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 51
- В ходе лечения обнаружены вредоносные программы:
- c:\system volume information\_restore{2b5854bd-1d01-4a45-bc76-2c8fb9f658fb}\rp13\a0002523.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Variant.Ursnif.8, AVAST4: Win32:Crypt-GIR [Drp] )
- c:\windows\system32\atnhe3h.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\cq3fj3m.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.60, AVAST4: Win32:Malware-gen )
- c:\windows\system32\d3wjff7.exe - Backdoor.Win32.Shiz.mz ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\flic6h3.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aGPIaygi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\kfnuond.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\kqahsdo.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aWhAPshi, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\qu3i0on.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\q3fjbfh.exe - Trojan.Win32.Jorik.Shiz.bs ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\tcuyrkc.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.65, AVAST4: Win32:Malware-gen )
- c:\windows\system32\va5zapm.exe - Trojan.Win32.Jorik.Shiz.ci ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gqW@aCzXN3ai )
- c:\windows\system32\wtlqsgo.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\wzf1edd.exe - Backdoor.Win32.Shiz.mz ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\xojuil5.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )
- c:\windows\system32\0rik3l7.exe - Backdoor.Win32.Shiz.jk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aGQxcPbi )
- c:\windows\system32\9bwmkdr.exe - Backdoor.Win32.Shiz.gen ( AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) Sergant07, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
