Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Подцепил трояны с флешки (заявка № 89338)

  1. #1
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27

    Подцепил трояны с флешки

    Упала производительность, провайдер даже отключал инет за "спам-активность". Полностью проверил компьютер KAV'ом в без. режиме, было обнаружено и удалено 5 троянов, проблемы остались.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\oleg\Application Data\juzjf.exe','');
     DeleteFile('C:\Documents and Settings\oleg\Application Data\juzjf.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-8928907286-2441269230-250553885-4818\yv8g67.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-8928907286-2441269230-250553885-4818\yv8g67.exe');
     QuarantineFile('C:\Documents and Settings\oleg\csrss.exe','');
     DeleteFile('C:\Documents and Settings\oleg\csrss.exe');    
     QuarantineFile('C:\windows\system32\DRIVERS\atapi.sys','');
     QuarantineFile('autorun.bat','');
     QuarantineFile('C:\autorun.exe','');
     QuarantineFile('C:\autorun.wsh','');
     QuarantineFile('D:\autorun.wsh','');
     QuarantineFile('E:\autorun.wsh','');
     DeleteFile('E:\autorun.wsh');
     DeleteFile('D:\autorun.wsh');
     DeleteFile('C:\autorun.wsh');
     DeleteFile('C:\autorun.exe');
     DeleteFile('autorun.bat');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    Сделал.
    Последний раз редактировалось nk7; 06.10.2010 в 20:29.

  5. #4
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    [ап] Стоит ждать сегодня помощи, или всё совсем плохо?

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    Производительность после выполнения скрипта повысилась, но мой компьютер по прежнему открывается 2 минуты, из панели управления ничего не запускается (я не ждал больше 5 мин)/не включить отрубившийся интернет.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    Проверялось 60 часов!

  10. #9
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    Ап
    Не знаю, важно это или нет, но я вспомнил, что после проверки KAV`ом я почистил скрытые файлы на внешнем диске F (juched.exe и что-то еще). А до того сделал восстановление системы (наверное это было ошибкой...)

  11. #10
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    Ап...

  12. #11
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Удалите в МВАМ -

    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\Program Files\ConnectionServices\Uninstall.exe','');    
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

  13. #12
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    Цитата Сообщение от Olejah Посмотреть сообщение
    Удалите в МВАМ -

    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTW[ARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.
    MBAM зависает во время удаления. Можно удалить через Regedit, или как-то по другому?

  14. #13
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Пробовали много раз? Руками можно, но аккуратно.

  15. #14
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    4 раза зависало в одном и том же месте, с одинаковым кол-вом памяти.
    Удалил через regedit, скрипты выполнил.
    Файл сохранён как 101015_225938_quarantine_4cb8a49aeb849.zip

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Сделайте новые логи

  17. #16
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    Сделал.

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Чисто в логах. Что с проблемой?

  19. #18
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    Все так же: Мой компьютер и панель управления открываются по 5 минут (с LiveCD моментально), но теперь еще при выключении не закрывается Power Meter...

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Цитата Сообщение от nk7 Посмотреть сообщение
    закрывается Power Meter...
    Это ещё что такое?

  21. #20
    Junior Member Репутация
    Регистрация
    03.10.2010
    Сообщений
    19
    Вес репутации
    27
    Без понятия. В диспетчере задач не нашел, но при выключении появляется сообщение что ее невозможно закрыть, с выбором end now/cancel.

  • Уважаемый(ая) nk7, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. autorun.inf подцепил с флешки
      От 4ipolino в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.12.2010, 21:32
    2. Подцепил трояны Agent.QZR Kryptik.ВСК Injector.BGQ
      От Xaron в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.04.2010, 15:59
    3. Подцепил дрянь с чужой флешки.
      От eagle123 в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 04:06
    4. что-то подцепил
      От Vladneg в разделе Помогите!
      Ответов: 32
      Последнее сообщение: 22.02.2009, 02:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01583 seconds with 16 queries