-
Junior Member
- Вес репутации
- 50
Сборник вирусов и троянов
Здравствуйте )
В последнее время какой-то ад с вирусами и троянами на компе ) первый звоночек был с моими сайтами - на них стала прописываться в коде строчка с ифреймом, подгружающая вирусы. Антивирусы молчали. Я делал бэкап, чистил фтп, менял пароли, но все безрезультатно. Для соединений по фтп пользуюсь тотал-коммандером, знаю что его многие ругают, но пароли в нем не храню.
Потом уже Касперский стал что-то периодически находить, но удалить не может, пытается лечить, перезагружает комп, и опять все по-новой.
На компьютере стоит лицензионный Касперский+лицензионный Аутпост файрволл, не спасает (
Прогнал на компе ComboFix, вроде чуть поменьше вирусов стало, но проблемы еще есть. Посмотрите, пожалуйста
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Отключив интернет и защитное ПО, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\waigaprnlib.dll','');
QuarantineFile('C:\WINDOWS\System32\waigapsclib.dll','');
QuarantineFile('C:\WINDOWS\system32\6QTSE7CD\F001.exe','');
DeleteFile('C:\WINDOWS\system32\6QTSE7CD\F001.exe');
DeleteFile('C:\WINDOWS\System32\waigapsclib.dll');
DeleteFile('c:\windows\system32\waigaprnlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('OpcEnum');
BC_DeleteSvc('Pml Driver HPZ12');
BC_DeleteSvc('catchme');
BC_DeleteSvc('USBAAPL');
BC_DeleteSvc('ZTEusbmdm6k');
BC_DeleteSvc('ZTEusbnmea');
BC_DeleteSvc('BSuWAcmv');
BC_DeleteSvcReg('WaigSvc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=94039).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Bratez, спасибо большое за отклик! карантин отправил, только почему-то в нем не оказалось того файла из system32...
Посмотрите, пожалуйста, новые логи. У меня файрволл еще иногда ругается что налево пакеты уходят и инфа, на этот счет посмотрите тоже, если можно
-
Повторяю: Отключите восстановление системы!
Иначе имеете все шансы восстановить своих троянов в первозданном виде.
В логах больше ничего плохого не видно.
Что с проблемами?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Восстановление системы я отключаю, но какая-то зараза на компе ее врубает, плюс врубает автозапуск с дисков и т.д...
Отключил сейчас снова, стал вручную удалять папку с восстановлением, там остался неудаленным A0005033.exe, пишет что сейчас используется и каспер сразу заверещал, но не удалил его. Каспер вообще ведет себя странно, процесс avp.exe занимает 99% процессорных возможностей, все тормозит...
А так все проблемы на компе начались с моих сайтов - в них стала прописываться строчка с ифреймом и вирусами внутри, которые загружают или яву или pdf; я бэкапил, менял пароли - все безрезультатно, причем проблема не со всеми сайтами, как это обычно бывает, а только с двумя на аккаунте...
-
Сообщение от
TCT
остался неудаленным A0005033.exe, пишет что сейчас используется и каспер сразу заверещал
Попробуйте удалять отключив антивирус.
Не пойму по логам, какая версия касперского у вас? Если KIS, то зачем тогда Аутпост? Может из-за этого тормоза?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
файлик удалился
да, у меня KIS 11, Аутпост я поставил чтобы выяснить какие программы ломятся в Интернет и могут высылать мои пароли и т.п. Не нашел где в КИСе можно это смотреть. Попробовал сейчас Аутпост выгрузить - не помогло, все равно avp.exe на 99% загружает ЦП. Аупост мне так приложение не показывает, бывают иногда строчки вида "N/A" или "SYSTEM", которые стучатся на левые айпи адреса, да и сам касперский иногда непонятно куда ломится.. )
Добавлено через 29 минут
останавливаю защиту КИСа, вырубаю прогу, а все равно висит неубиваемый системный процесс avp.exe, который всю систему тормозит... мож трояны покоцали Каспера и его надо снести и заново поставить? или кто-то маскируется под него...
Последний раз редактировалось TCT; 22.12.2010 в 17:28.
Причина: Добавлено
-
KIS и Outpost нельзя ставить на одну систему. Удалите Outpost, от этого все тормоза.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Аутпост снес, стало чуточку полегче, но все равно avp.exe грузит систему очень сильно (50-70%), бывают затыки в пару секунд, когда как-будто виснет все, причем я заметил что процесса avp.exe 2 штуки, один системный, другой пользовательский, их и должно быть 2?
программулька Malwarebytes' Anti-Malware стала виснуть каждый раз при запуске, чего раньше не наблюдалось...
-
mbam также удалите, эта утилита для временной проверки и не должна быть постоянно в системе. Возможно после этого тормоза пропадут.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
спасибо, тормоза вроде с вашей помощью победил, не могу только победить хрень, которая мне на сайты ифреймы прописывает (( полтора дня все было нормально, я уж обрадовался, а понадобилось войти в админку на сайте провайдера и закачать несколько файлов по фтп через тотал командер, как через некоторое время снова бяка на сайтах. в самом командере я пароль не храню, почти каждый день меняю пароль, на фтп поставил ограничение по для входа по айпи и все равно как-то прокрадывается это все... помогите, пожалуйста
-
Проверим уязвимости.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
проверил свою старую системку, было интересно, спасибо )
прилагаю файл, в нем не смог только установить "Накопительное обновление безопасности для браузера Internet Explorer".
вообще, у меня с Эксплолером давняя проблема, он старой версии очень, а новые, например, 7-ой система отказывается ставить. Скачал это обновление безопасности, оно при запуске выдало ошибку. Попутно вспомнил что я сегодня как раз случайно запускал эсплорер, кликнув по ссылке в письме - он с чего-то вдруг стал браузером по умолчанию. Глянул логи предупреждений Касперского, там Эксплолер фигурировал. В итоге плюнул и тупо удалил папку эксплорера из програмс-файлс и поставил везде по умолчанию Оперу. Другого выхода не нашел, все равно им не пользуюсь+не обновишь, чего дырку такую держать. Не знаю правильно сделал или нет )
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Присоединяю лог ComboFix'а
-
c:\windows\System32\xmlprov.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\drivers\tcpz-x86d.sys
Driver::
TCPZ
WaigSvc
Folder::
c:\windows\system32\t
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaigSvc"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Установите все новые обновления для Windows
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
А как быть с двумя зараженными файликами, которые касперский видит постоянно, но не может удалить?
пару дней вроде проблем не было, а вечерком опять сайты заразились (
может по-новой все логи сделать?
-
Сообщение от
thyrex
Сделано?
Сообщение от
thyrex
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Для кого было написано?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-