Показано с 1 по 10 из 10.

Trojan.Botnetlog, win32.HLLW.Autorunner. Не могу справиться сам. Помогите. (заявка № 84617)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2007
    Адрес
    Челябинск
    Сообщений
    30
    Вес репутации
    41

    Trojan.Botnetlog, win32.HLLW.Autorunner. Не могу справиться сам. Помогите.

    Здравствуйте.
    1. NOD32 постоянно ругается на вирусы, которые проникают через сеть.
    2. Недоступна кнопка "отключить" сетевое подключение.
    3. Компьютер отключил от сети физически. Логи делал при отключенной сети.
    4. При подключении флешки вирус создает на диске скрытую папку
    sejo и autorun.inf в корне.
    5. Недоступна команда msconfig.
    6. Логи сделаны под учетной записью, на которую могут быть наложены ограничения (систему ставил не я).

    пп. 2 и 5 могут и не быть причиной вируса, а могут быть причиной ограничения учетной записи (если это и так, могли бы сказать, как исправить, пароль администратора я знаю)

    7. Не исключаю, что Botnetlog - свежий. Cure-it от 3 августа его еще не видел. Сегодняшний (от 5 августа) - увидел.

    Логи прикрепляю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\dpm\Application Data\dgixy.exe','');
     DeleteFile('C:\Documents and Settings\dpm\Application Data\dgixy.exe');
     QuarantineFile('C:\Documents and Settings\dpm\Application Data\ozzfhv.exe','');
     DeleteFile('C:\Documents and Settings\dpm\Application Data\ozzfhv.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  4. #3
    Junior Member Репутация
    Регистрация
    15.01.2007
    Адрес
    Челябинск
    Сообщений
    30
    Вес репутации
    41
    Все инструкции выполнил под учетной записью администратора.

    Файл сохранён как 100805_100519_quarantine_4c5a549f97018.zip
    Размер файла 725052
    MD5 63e76388b01436392a97b8a9a4a918f0

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  6. #5
    Junior Member Репутация
    Регистрация
    15.01.2007
    Адрес
    Челябинск
    Сообщений
    30
    Вес репутации
    41
    Новые логи сделал, прикрепляю

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    что с проблемой?

  8. #7
    Junior Member Репутация
    Регистрация
    15.01.2007
    Адрес
    Челябинск
    Сообщений
    30
    Вес репутации
    41
    Вирусы больше не беспокоят.
    Думаю, тему можно закрывать.
    Благодарю за помощь.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  10. #9
    Junior Member Репутация
    Регистрация
    15.01.2007
    Адрес
    Челябинск
    Сообщений
    30
    Вес репутации
    41
    Сделал.
    И еще вот что.
    Обратил внимание, что при входе под учетной записью dpm
    (а под ней делались логи только из первого сообщения темы,
    все остальные - под учетной записью администратора)
    автоматически в проводнике открывается папка (сейчас не вспомню,
    то ли мои документы, то ли Application data).
    Заглянул в avz - менеджер автозапуска.
    Там оказался ключ реестра (winlogon параметр shell),
    в котором через запятую, были указаны имена указанных выше двух зловредов из вашего скрипта (сообщение №2) и, вроде бы, explorer.exe.

    Там же, в менеджере автозапуска, я выделил эту строчку
    и нажал восстановить значения по умолчанию.
    Путь и строку параметра shell я сейчас привести не могу
    (может быть, в логах из первого сообщения можно эту строку посмотреть точно?).
    Сейчас загрузка компьютера проходит нормально и при входе под
    учетной записью dpm произвольно в проводнике папка не открывается.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\dpm\application data\dgixy.exe - Trojan.Win32.Pincav.adwe ( DrWEB: Trojan.Packed.20655 )
      2. c:\documents and settings\dpm\application data\ozzfhv.exe - Trojan.Win32.Pincav.adrl ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DO [Trj] )


  • Уважаемый(ая) Pavel Taranenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. win32 HLLW Autorunner 5555
      От Alexandr1979 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.08.2009, 10:25
    2. не могу избавиться от win32.hllw.autorunner.868
      От skrip55 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 06.05.2009, 23:22
    3. Win32.HLLW.Autoruner.3438 и 4801 - Помогите справиться!
      От red_house в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 18.12.2008, 19:18
    4. Win32.HLLW.Autorunner(NOD32)
      От Merlin в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.04.2008, 13:26
    5. autoran.exe = спамер win32.hllw.autorunner
      От M@xWell в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.07.2007, 17:18

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00003 seconds with 16 queries