Показано с 1 по 15 из 15.

Работа вирусов Trojan.MulDrop1.45079, Trojan.WinSpy.935, Trojan.Packed.20771 (заявка № 90266)

  1. #1
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    210
    Вес репутации
    35

    Работа вирусов Trojan.MulDrop1.45079, Trojan.WinSpy.935, Trojan.Packed.20771

    Здравствуйте!

    Один из ПК на работе периодически самостоятельно перегружался.
    Запустил проверку DrwebLiveCD и он нашел коллекцию вирусов (Trojan.MulDrop1.45079, Trojan.WinSpy.935, Trojan.Packed.20771 и т.д.), но не смог их удалить.
    Лог сканера прилагаю.
    Еще признаки такие: при попытке удалить временные файлы из под MC в составе DrwebLiveCD выдавалась ошибка, что мол файлы read-only.
    При загрузке под Виндой не получается включить отображение скрытых файлов.
    Я попытаюсь завтра сделать логи по правилам, но боюсь, что могу не успеть до очередной перезагрузки.
    Тогда вопрос.Какие могут быть варианты борьбы, если часть файлов недоступна для удаления или не успею сделать логи?

    Оставил ПК на ночь проверяться Kaspersky Rescue Disk.Завтра посмотрим.Он кстати не смог обновить базы через Инет, написал что мол ошибка записи на диск или что-то похожее.
    Последний раз редактировалось BooZ; 08.11.2010 в 14:42.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Хотелось бы увидеть логи по правилам, все же.
    Paula rhei.
    Поддержать проект можно тут

  4. #3
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    210
    Вес репутации
    35
    Вот всё-таки получил логи:
    Последний раз редактировалось BooZ; 08.11.2010 в 14:42.

  5. #4
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    210
    Вес репутации
    35
    Посмотрите, плиз, логи!!!

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     if FileExists ('%windir%\system32\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
           begin
             QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             QuarantineFile('%windir%\system32\mssfc.dll','');
             DeleteFile('%windir%\system32\drivers\sfc.sys');
             DeleteFile('%windir%\system32\mssfc.dll');
             AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
           end
          else
           begin
             AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
             QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             QuarantineFile('%windir%\system32\mssfc.dll','');
             DeleteFile('%windir%\system32\drivers\sfc.sys');
             DeleteFile('%windir%\system32\mssfc.dll');
             RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
             if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
               begin
                if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
                  begin
                   CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                   AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
                  end
                 else
                  begin
                   AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
                   SaveLog('sfcfiles.log');
                   if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                     begin
                      if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                        begin
                         CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                         AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                        end
                       else
                        begin
                         AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                        end;
                     end
                    else
                     begin
                      AddToLog('Файл sfcfiles.dll отсутствует в i386');
                     end;
                  end;
               end
              else
               begin
                AddToLog('Файл sfcfiles.dll отсутствует в кеше');
                if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                  begin
                   if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                     begin
                      CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                      AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                     end
                   else
                    begin
                      AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                  end
                 else
                  begin
                   AddToLog('Файл sfcfiles.dll отсутствует в i386');
                  end;
               end;
             DeleteFile('%windir%\system32\sfcfiles.bak');
           end;
       end
      else
       begin
         AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
         QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
         QuarantineFile('%windir%\system32\mssfc.dll','');
         DeleteFile('%windir%\system32\drivers\sfc.sys');
         DeleteFile('%windir%\system32\mssfc.dll');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               SaveLog('sfcfiles.log');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                    begin
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                 end
                else
                 begin
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
                 end;
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            SaveLog('sfcfiles.log');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                begin
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                end;
              end
             else
              begin
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end;
         DeleteFile('%windir%\system32\sfcfiles.bak');
       end;
     SaveLog('sfcfiles.log');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteFile('%windir%\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc');
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\SISNIC','EventMessageFile','C:\WINDOWS\System32\netevent.dll');
    RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Файл sfcfiles.log прикрепите к сообщению
    Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  7. #6
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    210
    Вес репутации
    35
    Видимо AVZ при создании логов пофиксил кое-какие косяки и я ожидая ответа запустил cureit в безопасном режиме на проверку и он стал удалять вирусы.В том числе и файл setupapi.dll и полечил sfcfiles.dll.
    Имеет смысл делать предлагаемый скрипт или сделать заново логи?

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Просто повторите логи. А в правилах про cure it написано изначально.
    Paula rhei.
    Поддержать проект можно тут

  9. #8
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    210
    Вес репутации
    35
    Цитата Сообщение от миднайт Посмотреть сообщение
    Просто повторите логи. А в правилах про cure it написано изначально.
    Это да, но я же говорю, что до работы AVZ антивирусы обнаруживали зловредов, но не могли удалять.Ошибка записи и всё.
    Завтра сделаю повторно логи.

  10. #9
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    210
    Вес репутации
    35
    Повторные логи:
    Последний раз редактировалось BooZ; 08.11.2010 в 14:42.

  11. #10
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    210
    Вес репутации
    35
    Остались еще следы зловредов?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\DOCUME~1\orcestr\LOCALS~1\Temp\v24ho8us.sys');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;

  13. #12
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    210
    Вес репутации
    35
    Вот лог:
    Последний раз редактировалось BooZ; 08.11.2010 в 14:42.

  14. #13
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    210
    Вес репутации
    35
    Забыли про меня? :-(
    А я уже свежий антивирус поставил, SP3 и последние апдейты....

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    в логе подозрительного нет

  16. #15
    Junior Member Репутация
    Регистрация
    16.10.2008
    Сообщений
    210
    Вес репутации
    35
    Спасибо за помощь!

  • Уважаемый(ая) BooZ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Packed.20771 и его последствия
      От Melissa_Berz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.06.2012, 04:29
    2. Trojan.Packed.20771
      От okomaster в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 05.10.2010, 21:02
    3. Ответов: 2
      Последнее сообщение: 02.10.2010, 18:37
    4. Trojan.Packed.20771 поиграл с реестром.
      От eremey в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.09.2010, 02:08
    5. Trojan.Packed.20771 ?
      От le0n1d в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.08.2010, 23:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00109 seconds with 16 queries