Показано с 1 по 13 из 13.

Помогите, подхватил трояна (заявка № 86429)

  1. #1
    Junior Member Репутация
    Регистрация
    26.08.2010
    Сообщений
    7
    Вес репутации
    50

    Помогите, подхватил трояна

    Каспер орет "обнаружено: потенциально опасное ПО Mass-mailer software Процесс: C:\WINDOWS\system32\services.exe".
    Когда комп в сети-начинается отсылка спама.
    Логи имеются.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Скачайте "OSAM" Online Solutions Autorun Manager тут. В меню драйверов правой кнопкой по ytyhwqkc и выберите "Turn Run Off". Перезагрузку подтвердите.
    - теже действия повторите для qtasu

    1.Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunApp.exe (file missing)
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe','');
     QuarantineFile('c:\documents and settings\support\wuaucldt.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\qtasu.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ytyhwqkc.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\ytyhwqkc.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\qtasu.sys');
     DeleteFile('c:\documents and settings\support\wuaucldt.exe');
     DeleteFile('C:\WINDOWS\system32\wuaucldt.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     QuarantineFile('C:\Program Files\omNovia\Secure Recorder\setProtocol.exe','');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог Gmer

  4. #3
    Junior Member Репутация
    Регистрация
    26.08.2010
    Сообщений
    7
    Вес репутации
    50
    выполнил все выше описанные действия, новые логи прикрепляю. gmer лог прикреплю позже, еще не завершилось сканирование

  5. #4
    Junior Member Репутация
    Регистрация
    26.08.2010
    Сообщений
    7
    Вес репутации
    50
    лог gmer

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.Сохраните текст ниже как 1.bat в ту же папку, где находится ifv1wqnm.exe (GMER) и запустите этот батник(1.bat):
    Код:
    ifv1wqnm.exe -del service xmbsotz 
    ifv1wqnm.exe -del file "C:\WINDOWS\system32\gqvumv.dll"
    ifv1wqnm.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xmbsotz"
    ifv1wqnm.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xmbsotz"
    ifv1wqnm.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xmbsotz"
    ifv1wqnm.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  7. #6
    Junior Member Репутация
    Регистрация
    26.08.2010
    Сообщений
    7
    Вес репутации
    50
    лог:

  8. #7
    Junior Member Репутация
    Регистрация
    26.08.2010
    Сообщений
    7
    Вес репутации
    50
    также появился трабл с MS office outlook 2007. при запуске орет: "невозможно открыть почтовые папки, используемые по умолчанию" при нажатии на кнопку ок, закрывается.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\01.tmp','');
     DeleteService('vvjcxr');
     DeleteFile('C:\WINDOWS\system32\01.tmp');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;

  10. #9
    Junior Member Репутация
    Регистрация
    26.08.2010
    Сообщений
    7
    Вес репутации
    50
    Файл сохранён как 100827_121029_quarantine_4c7772f5e84f6.zip
    Размер файла 584
    MD5 a9fabd4479692ad0959247fc5b9f6a8d

    лог проверки:

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    В логе подозрительного нет.

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

  12. #11
    Junior Member Репутация
    Регистрация
    26.08.2010
    Сообщений
    7
    Вес репутации
    50
    Спасибо за помощь. С почтой разобрался сам-все восстановил.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    пожалуйста

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\ytyhwqkc.sys - Rootkit.Win32.Bubnix.abt ( DrWEB: Trojan.Bubnix.1, BitDefender: Gen:Variant.Bubnix.1, AVAST4: Win32:Bubak [Rtk] )
      2. c:\\windows\\system32\\wuaucldt.exe - Trojan.Win32.Small.acyq ( DrWEB: Trojan.DownLoader1.18803, BitDefender: Gen:Variant.TDss.17, NOD32: Win32/Wigon.OK trojan, AVAST4: Win32:Small-NPB [Drp] )


  • Уважаемый(ая) NRGize, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. подхватил трояна Win32/Vundo.OD
      От Алексей Грохотов в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.12.2011, 20:46
    2. Похоже подхватил трояна.
      От Fedyy в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.10.2009, 21:38
    3. Комп подхватил трояна
      От Reanimator в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:49
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 01:39
    5. Сайт ФХР подхватил трояна?
      От ISO в разделе Вредоносные программы
      Ответов: 4
      Последнее сообщение: 21.01.2008, 20:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01389 seconds with 17 queries