-
Junior Member
- Вес репутации
- 54
Неубиваемый Trojan.Alipop.3 другие трояны и ошибки в работе IE
При попытке входа на какой либо сайт выходит ошибка в IE и дальнейшая работа прекращается. Проверка DrWeB CureIT выявляет Trojan.Alipop.3 в MBR и несколько других троянов в системных папках. Если после "успешного лечения" перезагрузить компьютер и попробовать запустить через IE какой-либо сайт все повторяется. И зараженные файлы на своих местах, хотя все было пролечено и файлы удалены.
Восстановление системы отключено.
Последний раз редактировалось parenek43; 10.02.2011 в 22:59.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\DOWNLO~1\XCrypt10.ocx','');
QuarantineFile('C:\WINDOWS\system32\waiuaprnlib.dll','');
QuarantineFile('C:\WINDOWS\nhl.exe','');
QuarantineFile('C:\Program Files\owwcwi.exe','');
QuarantineFile('C:\Program Files\Common Files\System\sdb.exe','');
QuarantineFile('C:\WINDOWS\srchsdst\svchast.exe','');
QuarantineFile('C:\WINDOWS\system32\iSql\H002.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\DOCUME~1\3AAC~1\LOCALS~1\Temp\U3kp4ebU.sys','');
QuarantineFile('c:\windows\system32\waiuaprnlib.dll','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Повторите логи avz.
Paula rhei.
Поддержать проект можно тут
-
-
А также
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Логи авз сделал новые. Комбофикс во время работы два раза компьютер перезагружал.
Последний раз редактировалось parenek43; 10.02.2011 в 22:58.
-
Junior Member
- Вес репутации
- 54
Проблема так и не решается. Антивирусы не могут окончательно вылечить заразу. Что-то не так с моими логами или карантин не получили?
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\ali.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\vdkxnzc2.sys','');
QuarantineFile('C:\WINDOWS\system32\waiuaprnlib.dll','');
DeleteService('hackfans');
QuarantineFile('C:\WINDOWS\system32\iSql\H002.exe','');
DeleteService('wusbsvc');
QuarantineFile('C:\WINDOWS\nhl.exe','');
DeleteService('WMMNetworkJbr');
QuarantineFile('C:\Program Files\owwcwi.exe','');
DeleteService('SPOOLSVC');
QuarantineFile('C:\Program Files\Common Files\System\sdb.exe','');
DeleteService('rYHlGiiZ');
QuarantineFile('C:\WINDOWS\system32\TNWSBEXR\JAYZ.exe','');
DeleteService('MSUpdqteok');
QuarantineFile('C:\WINDOWS\srchsdst\svchast.exe','');
QuarantineFile('C:\WINDOWS\System32\waiuapsclib.dll','');
DeleteFile('c:\windows\system32\waiuaprnlib.dll');
DeleteFile('C:\WINDOWS\System32\waiuapsclib.dll');
DeleteFile('C:\WINDOWS\srchsdst\svchast.exe');
DeleteFile('C:\WINDOWS\system32\TNWSBEXR\JAYZ.exe');
DeleteFile('C:\Program Files\Common Files\System\sdb.exe');
DeleteFile('C:\Program Files\owwcwi.exe');
DeleteFile('C:\WINDOWS\nhl.exe');
DeleteFile('c:\windows\ali.exe');
DeleteFile('C:\WINDOWS\system32\iSql\H002.exe');
DeleteFile('C:\WINDOWS\system32\waiuaprnlib.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaiuSvc\Parameters','ServiceDll');
DeleteFileMask('C:\WINDOWS\system32\TNWSBEXR', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\TNWSBEXR');
QuarantineFile('c:\windows\system32\1TGHZ4DW\*.*','');
BC_ImportAll;
ExecuteSysClean;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv');
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%systemroot%\system32\svchost.exe -k netsvcs');
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%systemroot%\system32\svchost.exe -k netsvcs');
ExecuteWizard('TSW',2,2,true);
BC_Activate;
AddToLog('MD5 = ' + CalkFileMD5('c:\windows\ali.exe'));
SaveLog('c:\avz00.log');
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
c:\avz00.log прикрепите.
fixmbr знаете как делать?
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
Если подскажите, как сделать или если есть в правилах, то сделаю.
-
Junior Member
- Вес репутации
- 54
Скрипты выполнил. Карантин закачал. Выкладываю порцию новых логов. Как сделать fixmbr нигде не нашел. Жду указаний. Большое спасибо, что помогаете в трудную минуту!
Последний раз редактировалось parenek43; 10.02.2011 в 22:58.
-
-
-
Junior Member
- Вес репутации
- 54
-
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось parenek43; 10.02.2011 в 22:58.
-
Junior Member
- Вес репутации
- 54
сейчас запустил сканер Drweb и он обнаружил что эта гадость опять в MBR. Снова фиксить?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
TDSSKiller сказал что угроз не обнаружено. Комбофиксом тоже просканировал. Логи прикладываю.
Последний раз редактировалось parenek43; 10.02.2011 в 22:58.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\waivapsclib.dll
c:\windows\system32\drivers\tcpz-x86d.sys
c:\windows\system32\waivaprnlib.dll
c:\windows\system32\kgyg.#xe
c:\windows\system32\IA68OA1E\JAYZ.exe
c:\program files\lanmao.#xe
Driver::
WaivSvc
ttbgf
TCPZ
NetSvc::
Folder::
c:\windows\system32\IA68OA1E
c:\windows\system32\13AILLWI
c:\windows\system32\LP1LRD1H
c:\windows\system32\GEIPWFU7
c:\windows\system32\NSHZ2ZDX
c:\windows\system32\IA68OA1E
c:\windows\system32\INHH7PNP
c:\windows\system32\M07ZY1X0
c:\windows\system32\LBUKBASG
c:\windows\system32\2NZ3AD16
c:\windows\system32\1TGHZ4DW
c:\windows\system32\Z1YGE6VC
c:\windows\system32\UIAM8MQ7
c:\windows\system32\UZLCYHWI
c:\windows\system32\AU5HJOKF
c:\windows\system32\AUWOCDRV
c:\windows\system32\ATNV41ZC
c:\windows\system32\8TE2XQ6R
c:\windows\system32\8T4AQGE7
c:\windows\system32\8HCR7ZIR
c:\windows\system32\8H2Y0PP7
c:\windows\system32\7GT5TEWN
c:\windows\system32\7GKDM233
c:\windows\system32\7GBKFRCK
c:\windows\system32\7F1R6GJ0
c:\windows\system32\7FSZZ4QG
c:\windows\system32\62ZGHPUZ
c:\windows\system32\62QNAF1G
c:\windows\system32\62HU238W
c:\windows\system32\6172VSHC
c:\windows\system32\61YAOHOS
c:\windows\system32\51PHH5V8
c:\windows\system32\50GOAU2O
c:\windows\system32\5PN4RF67
c:\windows\system32\5OFDK3EO
c:\windows\system32\5O5KDTM4
c:\windows\system32\4OWR5ITL
c:\windows\system32\4NNYY600
c:\windows\system32\4NE5RV7H
c:\windows\system32\4BLN8GC0
c:\windows\system32\3BCU14JH
c:\windows\system32\3B21UTQW
c:\windows\system32\3YAICEUG
c:\windows\system32\3X0Q422W
c:\windows\system32\3XRXXSAD
c:\windows\system32\2LYEECEV
c:\windows\system32\2LPL61LC
c:\windows\system32\2LGSZQSS
c:\windows\system32\2K60SFZ8
c:\windows\system32\2KX7L36O
c:\windows\system32\18IH4B0I
c:\windows\system32\188OX08X
c:\windows\system32\1WG5FLCH
c:\windows\system32\1V6D7AKX
c:\windows\system32\0VXK0YRE
c:\windows\system32\0VORTNYT
c:\windows\system32\0JV8B72D
c:\windows\system32\0JMG3WAT
c:\windows\system32\0IDNWLHA
c:\windows\system32\ZI3UPAPP
c:\windows\system32\Z5BC6US8
c:\windows\system32\Z51JZK0P
c:\windows\system32\ZT8ZH448
c:\windows\system32\ZHGHXP7S
c:\windows\system32\YH6OQEG7
c:\windows\system32\YHXVJ2NO
c:\windows\system32\Y44C0NR7
c:\windows\system32\Y4VKTCYO
c:\windows\system32\X3MRM053
c:\windows\system32\X3EYFPDK
c:\windows\system32\XRLFWAH3
c:\windows\system32\XRCMPYOK
c:\windows\system32\XR2UIOWZ
c:\windows\system32\WFABZ70J
c:\windows\system32\WE0ISX7Z
c:\windows\system32\WERPLMFG
c:\windows\system32\W1Y626JZ
c:\windows\system32\WQ5NKRNI
c:\windows\system32\VED41CR1
c:\windows\system32\VD3CU0YI
c:\windows\system32\VDUJNP5Y
c:\windows\system32\V01Z3AAI
c:\windows\system32\U0S7WYHX
c:\windows\system32\U0JFPNOE
c:\windows\system32\UOQV67SX
c:\windows\system32\UOH2ZWZE
c:\windows\system32\UCOKHH3X
c:\windows\system32\TCFRA5CD
c:\windows\system32\TB5Y2VJT
c:\windows\system32\TYDGKGND
c:\windows\system32\TNKW10RW
c:\windows\system32\TMB3UPYC
c:\windows\system32\SM1BNE5S
c:\windows\system32\SA8S4YAC
c:\windows\system32\SXG8MJEV
c:\windows\system32\SX6GF7LC
c:\windows\system32\RLEXWSPU
c:\windows\system32\RL44PHWB
c:\windows\system32\R8CL610U
c:\windows\system32\R82TZQ7B
c:\windows\system32\RWAAGBCU
c:\windows\system32\QW0H8ZJA
c:\windows\system32\QK7YQKNT
c:\windows\system32\QKY5J8UA
c:\windows\system32\QJPDCY1Q
c:\windows\system32\Q7WTTI58
c:\windows\system32\P6N1M7EP
c:\windows\system32\P6E8FWL5
c:\windows\system32\PULPWHPP
c:\windows\system32\PUCWP5W4
c:\windows\system32\OU34IU3L
c:\windows\system32\OIALZF74
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaisSvc"=-
"WaitSvc"=-
"WaiuSvc"=-
"WaivSvc"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 54
ComboFix проверил, перезагуил комп и попросил подключение к интернету, в конце он сказал что не может загрузить файл с расширением .htm (имя файла я не записал) и что его нужно загрузить позже вручную.(это все на английском языке) Лог сформировался.
Последний раз редактировалось parenek43; 10.02.2011 в 22:58.
-
Отключите Системное восстановление!!! как- посмотреть можно тут
- Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\waitaprnlib.dll
c:\windows\system32\waitapsclib.dll
c:\windows\system32\gouri.bat
c:\windows\ali.exe
Driver::
NetSvc::
Folder::
c:\windows\system32\UO5LIPQC
c:\windows\system32\OH1SS3FL
c:\windows\system32\O5L1CC8E
c:\windows\system32\OTSJTWDX
c:\windows\system32\NIZZBGHH
c:\windows\system32\NHQ735OW
c:\windows\system32\NHHFVUVD
c:\windows\system32\N4OVDFZW
c:\windows\system32\MSVDUZ3G
c:\windows\system32\MSMKNOBW
c:\windows\system32\MSDRGDIC
c:\windows\system32\MGK7XXMV
c:\windows\system32\MGBGQMUC
c:\windows\system32\L3IW76XV
c:\windows\system32\LRPDPR1F
c:\windows\system32\LRGLIGAU
c:\windows\system32\LRKLDS6K
c:\windows\system32\LRBS5HE0
c:\windows\system32\KFI8N1IK
c:\windows\system32\KF8GGQP0
c:\windows\system32\KEZO8FWG
c:\windows\system32\K164QZ0Z
c:\windows\system32\J1YCJO7G
c:\windows\system32\J1PJCDGW
c:\windows\system32\JPW0SXJG
c:\windows\system32\JPN7LNRV
c:\windows\system32\JDUO27VF
c:\windows\system32\IDLWVW2V
c:\windows\system32\I0SDDH6F
c:\windows\system32\I0JK55EV
c:\windows\system32\IZARYULB
c:\windows\system32\INH8GFPU
c:\windows\system32\HN7G83WB
c:\windows\system32\HC4IUYGD
c:\windows\system32\HCVPNNNT
c:\windows\system32\HCMWGCUA
c:\windows\system32\GCD4802Q
c:\windows\system32\GZKLQL68
c:\windows\system32\GYBSJAEP
c:\windows\system32\GNV22I7I
c:\windows\system32\U2O8JY1X
c:\windows\system32\UFFYKRZA
c:\windows\system32\TEWE54F5
c:\windows\system32\T1U1GEQ5
c:\windows\system32\S1DH1R41
c:\windows\system32\SOB4C0G1
c:\windows\system32\RDLMNXHB
c:\windows\system32\R0NASJQ0
c:\windows\system32\QOLY2S1Z
c:\windows\system32\P5P2Y0ED
c:\windows\system32\NSER8QQL
c:\windows\system32\HRCNE0IX
c:\windows\system32\V3EUFMPP
c:\windows\system32\V3417BW5
c:\windows\system32\V2V80Z3M
c:\windows\system32\V2Z8VC0C
c:\windows\system32\U2QGO08R
c:\windows\system32\HABE07FS
c:\windows\system32\TBE3VI5R
c:\windows\system32\SM5GLOV0
c:\windows\system32\7JEV511Y
c:\windows\system32\8WZKP48M
c:\windows\system32\6MS8T1XC
c:\windows\system32\V0NBEGVO
c:\windows\system32\7Z3D1VXF
c:\windows\system32\FXJZAAX2
c:\windows\system32\EXP7HAUE
c:\windows\system32\EYT7CMR3
c:\windows\system32\1UIK4DKJ
c:\windows\system32\YZ1RW7NR
c:\windows\system32\YAT3MFD0
c:\windows\system32\XKZU2NKH
c:\windows\system32\WXH66PXC
c:\windows\system32\WNV1PJ3E
c:\windows\system32\TUUN7C2M
c:\windows\system32\iSql
c:\windows\srchsdst
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qQ"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 54
Новый скрипт выполнил. Логи выкладываю. Вот только странно, перед запуском скрипта отключил восстановление системы. Сейчас после того как ComboFix выполнил скрипт и перезапустил систему, я проверил а восстановление опять включено.
Последний раз редактировалось parenek43; 10.02.2011 в 22:58.
-
Восстановление системы включает ComboFix
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\mywcc090310.#ll
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.exe
c:\program files\Common Files\Microsoft Shared\360°ІИ«ОАКї.dll
Driver::
Folder::
DDS::
mStart Page: hxxp://www.smaxi.net
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Последний раз редактировалось thyrex; 28.01.2011 в 13:28.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-