Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Trojan.Patched.GM (заявка № 90248)

  1. #1
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27

    Trojan.Patched.GM

    Добрый день.
    Прошу мне помочь с удалением вируса Trojan.Patched.GM
    Засел в файлах winlogon.exe и explorer.exe ,антивирусом находится, но не удаляется .
    С уважением Антон Ч.
    Последний раз редактировалось TonyChess; 04.11.2010 в 23:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) - {f1debf6c-54b7-40a7-9d1e-6edf730314a3} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O3 - Toolbar: (no name) - {f1debf6c-54b7-40a7-9d1e-6edf730314a3} - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\system32\winlogon.exe');
     TerminateProcessByName('c:\windows\explorer.exe');
     QuarantineFile('c:\windows\explorer.exe','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\cmudaxu.sys','');
     DeleteService('cqudfecc');
     QuarantineFile('C:\WINDOWS\System32\Drivers\cqudfecc.sys','');
     DeleteService('fvvsgcol');
     QuarantineFile('C:\WINDOWS\System32\Drivers\fvvsgcol.sys','');
     DeleteService('gksryikl');
     QuarantineFile('C:\WINDOWS\System32\Drivers\gksryikl.sys','');
     DeleteService('kkoyzegm');
     DeleteService('kwstftbt');
     QuarantineFile('C:\WINDOWS\System32\Drivers\kkoyzegm.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\kwstftbt.sys','');
     DeleteService('xccyclng');
     QuarantineFile('C:\WINDOWS\System32\Drivers\xccyclng.sys','');
     QuarantineFile('C:\Documents and Settings\T a N\ctfmon.exe','');
     DeleteFile('C:\WINDOWS\system32\system');
     DeleteFile('C:\WINDOWS\system32\74.scr');
     DeleteFile('C:\WINDOWS\system32\83.scr');
     DeleteFile('C:\WINDOWS\system32\53.scr');
     DeleteFile('C:\WINDOWS\system32\35.scr');
     DeleteFile('C:\WINDOWS\system32\82.scr');
     DeleteFile('C:\WINDOWS\system32\10.scr');
     DeleteFile('C:\Documents and Settings\T a N\ctfmon.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\xccyclng.sys');
     BC_DeleteSvc('xccyclng');
     DeleteFile('C:\WINDOWS\System32\Drivers\kwstftbt.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\kkoyzegm.sys');
     BC_DeleteSvc('kwstftbt');
     BC_DeleteSvc('kkoyzegm');
     DeleteFile('C:\WINDOWS\System32\Drivers\gksryikl.sys');
     BC_DeleteSvc('gksryikl');
     DeleteFile('C:\WINDOWS\System32\Drivers\fvvsgcol.sys');
     BC_DeleteSvc('fvvsgcol');
     DeleteFile('C:\WINDOWS\System32\Drivers\cqudfecc.sys');
     BC_DeleteSvc('cqudfecc');  
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Файлы winlogon.exe и explorer.exe замените чистыми с дистрибутива

    - Сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27
    Цитата Сообщение от Olejah Посмотреть сообщение
    Выполните скрипт в АВЗ - .....
    После выполнения скрипта компьютер перезагрузится.
    После выполнения скрипта компьютер не перезапускается , а AVZ выдает ошибку. Failed to set data for 'ImagePatch'
    Что делать?
    Последний раз редактировалось TonyChess; 04.11.2010 в 20:26.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Выполняйте рекомендации дальше.

    Добавлено через 39 секунд

    Цитата Сообщение от TonyChess Посмотреть сообщение
    После выполнения скрипта компьютер не перезапускается
    Что Вы подразумеваете? Он не загружается вообще или не перезагружается?
    Последний раз редактировалось olejah; 20.10.2010 в 22:17. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27
    Он не перезагружается автоматически.
    После выполнения скрипта в АВЗ
    Цитата Сообщение от Olejah Посмотреть сообщение
    Выполните скрипт в АВЗ -

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    TerminateProcessByName('c:\windows\system32\winlog on.exe');
    TerminateProcessByName('c:\windows\explorer.exe');
    QuarantineFile('c:\windows\explorer.exe','') ........;
    Выскакивает ошибка Failed to set data for 'ImagePatch'
    Я закрываю АВЗ и перезагружаю компьютер.

    Выполняю скрипт
    Цитата Сообщение от Olejah Посмотреть сообщение
    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
    end.
    При выполнении этого скрипта пишет "Скрипт выполнен без ошибок"
    Далее следую инструкции:
    1. Запустите AVZ, выберите из меню "Файл" -> "Просмотр карантина".
    2. Справа в списке файлов отметьте те файлы, которые нужно выслать.

    Но никаких файлов там нет , правда в папке где находится АВЗ есть архив названием quarantine.zip весом 22 байта (НУжно ли его высылать?)
    прикладываю gmer.log
    Последний раз редактировалось TonyChess; 04.11.2010 в 20:26.

  7. #6
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27
    Цитата Сообщение от Olejah Посмотреть сообщение
    Файлы winlogon.exe и explorer.exe замените чистыми с дистрибутива.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Следующая возможность - замена файлов из аналогичной здоровой системы. Здесь нужно быть уверенным, что система-донор имеет тот же самый язык и тот же самый установленный сервис пак, что и больная система.
    Можно просто скопировать эти 2 файла (winlogon.exe и explorer.exe )с другого компьютера имеющего аналогичную систему, а потом вставить файлы в соответствующие папки и заменить имеющиеся файлы. Либо все более сложно чем просто Копировать Вставить ?

    Можно ли заменить эти файлы при помощи установочного диска Windows ?
    Последний раз редактировалось TonyChess; 20.10.2010 в 23:46.

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Цитата Сообщение от TonyChess Посмотреть сообщение
    Можно просто скопировать эти 2 файла (winlogon.exe и explorer.exe )с другого компьютера имеющего аналогичную систему
    Да, можно, попробуйте.

    Нужно ещё провериться так - http://support.kaspersky.ru/faq?qid=208636926, лог работы утилиты приложить сюда -
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt

  9. #8
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27
    Добрый день.
    Удачно выполнил оба скрипта для АВЗ в безопасном режиме.

    Выслан карантин.

    К сожалению пока не имею возможности скопировать с донора файлы (winlogon.exe и explorer.exe )

    Прилагаю логи:

  10. #9
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27
    Добрый день.
    Выполнил все вышенаписанные скрипты.
    Выслал карантин, логи.
    Заменил файлы winlogon.exe explorer.exe донорскими.
    Антивирус теперь находит в вирус в папке AVZ4 , в карантине .

    Какие дальнейшие действия?

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от TonyChess Посмотреть сообщение
    Антивирус теперь находит в вирус в папке AVZ4 , в карантине .

    Какие дальнейшие действия?
    Удалить папку с карантином
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27
    Добрый день.

    В очередной раз проверил компьютер при помощи KV Removal Tool,
    нашел вирус: Trojan.Win32.Patched.kl
    в папке виндоус system32\dllcache\explorer.exe и winlogon.exe
    KV Removal Tool предложил лечить, что я и сделал , одновременно с осуществлением лечения , другой антивирус BitDefender уведомляет , что были заблокированы множественные вирусы ,
    имя вирусаTrojan.Patched.GM
    расположение в папке Virus Removal Tool т.е. там где лежит KV Removal Tool.

    Пожалуйста подскажите что необходимо сделать?

    Кроме вышеупомянутого периодически перезаргужается и выдает ошибку браузер OPERA , а в скрытой папке \Local Settings\Temp куча (порядка 10) однообразных папок типа WER302e.dir00 , в которых лежит файл opera.exe.hdmp и весит 300 Мб .
    Подскажите нужны ли эти папки и файлы и можно ли их удалить , а то они в общей сложности 3 Гб занимают на системном диске.

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Цитата Сообщение от TonyChess Посмотреть сообщение
    в папке виндоус system32\dllcache\explorer.exe и winlogon.exe
    Эти файлы необходимо заменить чистыми с дистрибутива. Затем повторяем логи АВЗ + делаем лог полного сканирования МВАМ

  14. #13
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27
    virusinfo_cure.zip весит более 1 Мб , прикрепить не удается.
    Последний раз редактировалось TonyChess; 04.11.2010 в 23:36.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Сделайте лог полного сканирования МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f3ba2a51-bb4f-4e22-ad0e-dff956d5b672} (Trojan.Ransom) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Зараженные папки:
    C:\Documents and Settings\LocalService\Application Data\sysproc64 (Trojan.Agent) -> No action taken.
    C:\Program Files\VVSN (Adware.WhenU) -> No action taken.
    C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> No action taken.
    
    Зараженные файлы:
    E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015768.exe (Malware.Packer.Gen) -> No action taken.
    E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015772.exe (Malware.Packer.Gen) -> No action taken.
    C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> No action taken.
    C:\explorer.exe (Worm.AutoRun) -> No action taken.
    C:\winlogon.exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Администратор.SUBWAY\Рабочий стол\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27
    -
    Последний раз редактировалось olejah; 04.11.2010 в 23:49. Причина: virusinfo_cure.zip - карантин

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    TonyChess, извините. Не ту ссылку дал

    Вот правильная

    Удалите в МВАМ указанное в сообщении №14
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27
    Запустил MBAM повторно, на это раз нашел еще больше угроз, надеюсь что удалил то , что нужно.

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> Not selected for removal.
    HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Not selected for removal.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Not selected for removal.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f3ba2a51-bb4f-4e22-ad0e-dff956d5b672} (Trojan.Ransom) -> Not selected for removal.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Not selected for removal.
    
    Зараженные папки:
    C:\Documents and Settings\LocalService\Application Data\sysproc64 (Trojan.Agent) -> Not selected for removal.
    C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> Not selected for removal.
    
    Зараженные файлы:
    E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015768.exe (Malware.Packer.Gen) -> Not selected for removal.
    E:\System Volume Information\_restore{1070B499-74F3-492D-A4AF-B1C62BAAEC31}\RP53\A0015772.exe (Malware.Packer.Gen) -> Not selected for removal.
    C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys (Trojan.Agent) -> Not selected for removal.
    C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> Not selected for removal.
    C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> Not selected for removal.
    C:\explorer.exe (Worm.AutoRun) -> Not selected for removal.
    C:\winlogon.exe (Trojan.Agent) -> Not selected for removal.
    C:\Documents and Settings\Администратор.SUBWAY\Рабочий стол\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Not selected for removal.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    20.10.2010
    Сообщений
    17
    Вес репутации
    27
    Добрый день.
    Удалил. логи АВЗ еще раз надо делать?

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Файлы заменили? Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) TonyChess, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 17.12.2010, 16:44
    2. Trojan. Win 32. Patched. hp
      От sorma58 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.12.2009, 22:26
    3. Ответов: 15
      Последнее сообщение: 22.02.2009, 10:04
    4. TR/Patched.BB.24 Trojan
      От Adanedhel в разделе Ложные срабатывания
      Ответов: 34
      Последнее сообщение: 16.01.2009, 23:54
    5. trojan win 32 / patched
      От georgekos в разделе Malware Removal Service
      Ответов: 2
      Последнее сообщение: 12.01.2009, 18:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00046 seconds with 16 queries