Trojan.MulDrop, Siggen1, PWS.Ibank + нет доступа к сайтам

v119 · 11.03.2010, 19:54

Здравствуйте,

Прошу помощи! Сначала были такие симптомы:
- Притормаживание системы (WinXP), иногда - подвисание на 1-2 сек;
- Временами гиперактивность жесткого диска;
- Нет доступа к некоторым сайтам антивирусной тематики (по таймауту) -
virusinfo.info, freedrweb.com
- Excel ругнулся на макросы, сказав, что проблему мог породить только вирус;
- Один раз случилась системная ошибка с принудительым закрытием системы.

DrWeb CureIt выявил трояны:

64b11710.exe;F:\WINDOWS\system32;Trojan.MulDrop.64 715;Удален.;
6QybBAR.exe;F:\WINDOWS\system32;Trojan.Siggen1.757 9;Неизлечим.Перемещен.;
ApurJTn.exe;F:\WINDOWS\system32;Trojan.Siggen1.757 9;Неизлечим.Перемещен.;
Begaogi.exe;F:\WINDOWS\system32;Trojan.Siggen1.757 9;Неизлечим.Перемещен.;
FvlDccZ.exe;F:\WINDOWS\system32;Trojan.Siggen1.757 9;Неизлечим.Перемещен.;
gX8Yetn.exe;F:\WINDOWS\system32;Trojan.PWS.Ibank.2 5;Удален.;

После этого Kaspersky Virus Removal Tool нашел Trojan.Win32.Scar.Btuw, причем
когда я дал команду Лечить, появилось сообщение о системной ошибке в svchost и
второе окно - о принудительном закрытии системы.

Последующие прогоны DrWeb и Касперского ничего не выявили. Но первые 3 из
симптомов остались (притормаживание, гиперактивность диска, нет доступа)
Кроме того, в документе Word вдруг появился тулбар для режима дизайна;

Логи avz и HijackThis: http://exfile.ru/88789

Заранее спасибо.

romul781 · 11.03.2010, 22:56

v119, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.traffer.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://start.traffer.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/INTERNET/start.HTM
F2 - REG:system.ini: UserInit=f:\windows\system32\userinit.exe,f:\windows\system32\9e1bc0e8.exe,\\?\globalroot\systemroot\system32\psi5aau.exe,

и нажать кнопку "Fix сhecked".

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('\\');
 DeleteFile('f:\windows\system32\9e1bc0e8.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог хайджека.

v119 · 11.03.2010, 23:36

romul781, спасибо, все выполнил.
При выполнении скрипта появилось сообщение "Exception processing message c000013...", причем пришлось раз десять нажать кнопку, пока оно перестало появляться вновь.

Логи: http://exfile.ru/88847

Стал доступен сайт virusinfo.info, а www.freedrweb.com по прежнему недоступен.

romul781 · 11.03.2010, 23:47

v119, лог хайджека старый - выложите новый.

v119 · 11.03.2010, 23:54

Прошу прощения, промахнулся!
Логи: http://exfile.ru/88850

romul781 · 12.03.2010, 00:03

v119, Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

begin
 ExecuteRepair(20 );  
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip
проверьте, зайдет ли на сайт веба.

v119 · 12.03.2010, 00:20

Выполнил, www.freedrweb.com стал доступен!

virusinfo_syscheck.zip: http://exfile.ru/88853

romul781 · 12.03.2010, 00:28

Kings, еще один пакостник вылез

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('F:\WINDOWS\system32\inter32.dll');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

v119 · 12.03.2010, 00:54

Выполнил.
virusinfo_syscheck.zip: http://exfile.ru/88863

v119 · 12.03.2010, 10:43

romul781, попутно вопрос, если можно: Где прочесть, что эти зловреды делают? Что-то я ничего найти не мог... Хотелось бы понять, чем они могли успеть навредить, и соответственно, что надо еще сделать. К примеру, проверить макросы в вордовых и эксельных файлах, поменять пароли...

romul781 · 12.03.2010, 16:30

Цитата:

Сообщение от v119

Где прочесть, что эти зловреды делают?

гугл в помощь

на сайтах www.virusinfo.info
www.virusnet.info
сайтах касперыча, веба и т.д

v119 · 12.03.2010, 19:56

Понял.

В последнем virusinfo_syscheck ничего плохого уже нет?

---------- Добавлено в 18:56 ---------- Предыдущее сообщение было написано в 16:07 ----------

Пытался искать
Trojan.Win32.Scar.Btuw
Trojan.MulDrop
Trojan.Siggen1
Trojan.PWS.Ibank

Упоминания находятся, но описаний ни одного

romul781 · 12.03.2010, 23:30

Цитата:

Сообщение от v119

В последнем virusinfo_syscheck ничего плохого уже нет?

ничего нет

насчет описаний - в памяти все не удержишь

v119 · 13.03.2010, 13:17

Огромное спасибо за помощь!

11.03.2010, 19:54	#1 (ссылка)
v119 Новичок Регистрация: 11.03.2010 Сообщений: 8 Репутация: 1	Trojan.MulDrop, Siggen1, PWS.Ibank + нет доступа к сайтам Здравствуйте, Прошу помощи! Сначала были такие симптомы: - Притормаживание системы (WinXP), иногда - подвисание на 1-2 сек; - Временами гиперактивность жесткого диска; - Нет доступа к некоторым сайтам антивирусной тематики (по таймауту) - virusinfo.info, freedrweb.com - Excel ругнулся на макросы, сказав, что проблему мог породить только вирус; - Один раз случилась системная ошибка с принудительым закрытием системы. DrWeb CureIt выявил трояны: 64b11710.exe;F:\WINDOWS\system32;Trojan.MulDrop.64 715;Удален.; 6QybBAR.exe;F:\WINDOWS\system32;Trojan.Siggen1.757 9;Неизлечим.Перемещен.; ApurJTn.exe;F:\WINDOWS\system32;Trojan.Siggen1.757 9;Неизлечим.Перемещен.; Begaogi.exe;F:\WINDOWS\system32;Trojan.Siggen1.757 9;Неизлечим.Перемещен.; FvlDccZ.exe;F:\WINDOWS\system32;Trojan.Siggen1.757 9;Неизлечим.Перемещен.; gX8Yetn.exe;F:\WINDOWS\system32;Trojan.PWS.Ibank.2 5;Удален.; После этого Kaspersky Virus Removal Tool нашел Trojan.Win32.Scar.Btuw, причем когда я дал команду Лечить, появилось сообщение о системной ошибке в svchost и второе окно - о принудительном закрытии системы. Последующие прогоны DrWeb и Касперского ничего не выявили. Но первые 3 из симптомов остались (притормаживание, гиперактивность диска, нет доступа) Кроме того, в документе Word вдруг появился тулбар для режима дизайна; Логи avz и HijackThis: http://exfile.ru/88789 Заранее спасибо.

11.03.2010, 22:56	#2 (ссылка)
romul781 Знаток Регистрация: 01.03.2009 Сообщений: 3,546 Репутация: 260	v119, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк Код: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.traffer.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.traffer.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://start.traffer.ru R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/INTERNET/start.HTM F2 - REG:system.ini: UserInit=f:\windows\system32\userinit.exe,f:\windows\system32\9e1bc0e8.exe,\\?\globalroot\systemroot\system32\psi5aau.exe, и нажать кнопку "Fix сhecked". Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('\\'); DeleteFile('f:\windows\system32\9e1bc0e8.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог хайджека.

12.03.2010, 00:03	#6 (ссылка)
romul781 Знаток Регистрация: 01.03.2009 Сообщений: 3,546 Репутация: 260	v119, Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код: begin ExecuteRepair(20 ); RebootWindows(true); end. затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip проверьте, зайдет ли на сайт веба.

12.03.2010, 00:28	#8 (ссылка)
romul781 Знаток Регистрация: 01.03.2009 Сообщений: 3,546 Репутация: 260	Kings, еще один пакостник вылез Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('F:\WINDOWS\system32\inter32.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Заблокирован доступ ко многим сайтам в интернете.	Яночка	Безопасность	1	10.01.2011 16:45
Не могу подключитса кнекоторым сайтам	lischun	Неисправности, настройка	6	11.12.2010 13:07
Не обновляются базы Нод32 и нет доступа к антивирусным сайтам	Varex	Безопасность	2	19.05.2010 23:49
Подхватил trojan.PWS.Ibank	COOLer_DMST	Безопасность	7	11.04.2010 03:37
Проблема с trojan.pws.ibank.28	bloomer376	Безопасность	17	02.04.2010 02:08
Избавиться от Trojan.PWS.Ibank.28.	Svetliko	Безопасность	38	27.03.2010 19:06
Решено: Вылечить от trojan.pws.ibank.28	akrav	Безопасность	28	22.03.2010 14:45
Ограничить доступ к сайтам	PunkSerg	Интернет и сети	3	12.03.2010 09:24
Прочитайте,пожалуйста ЛОГИ.Trojan.Win32.Patched.fr,Trojan.Downloader.Jav a.Agent.an	joy-jo	Безопасность	2	10.02.2010 21:13
как заблокировать доступ на комп некоторым сайтам	alxmx	Безопасность	11	06.11.2009 18:14
Муж отключил доступ к сайтам ))	ne_blondinka	Интернет и сети	23	23.06.2009 22:41
ПРоблема с доступам к сайтам	Alexandr12	Безопасность	5	04.02.2009 01:28

11.03.2010, 23:36	#3 (ссылка)
v119 Новичок Регистрация: 11.03.2010 Сообщений: 8 Репутация: 1	romul781, спасибо, все выполнил. При выполнении скрипта появилось сообщение "Exception processing message c000013...", причем пришлось раз десять нажать кнопку, пока оно перестало появляться вновь. Логи: http://exfile.ru/88847 Стал доступен сайт virusinfo.info, а www.freedrweb.com по прежнему недоступен.

11.03.2010, 23:47	#4 (ссылка)
romul781 Знаток Регистрация: 01.03.2009 Сообщений: 3,546 Репутация: 260	v119, лог хайджека старый - выложите новый.

11.03.2010, 23:54	#5 (ссылка)
v119 Новичок Регистрация: 11.03.2010 Сообщений: 8 Репутация: 1	Прошу прощения, промахнулся! Логи: http://exfile.ru/88850

12.03.2010, 00:20	#7 (ссылка)
v119 Новичок Регистрация: 11.03.2010 Сообщений: 8 Репутация: 1	Выполнил, www.freedrweb.com стал доступен! virusinfo_syscheck.zip: http://exfile.ru/88853

12.03.2010, 00:54	#9 (ссылка)
v119 Новичок Регистрация: 11.03.2010 Сообщений: 8 Репутация: 1	Выполнил. virusinfo_syscheck.zip: http://exfile.ru/88863

12.03.2010, 10:43	#10 (ссылка)
v119 Новичок Регистрация: 11.03.2010 Сообщений: 8 Репутация: 1	romul781, попутно вопрос, если можно: Где прочесть, что эти зловреды делают? Что-то я ничего найти не мог... Хотелось бы понять, чем они могли успеть навредить, и соответственно, что надо еще сделать. К примеру, проверить макросы в вордовых и эксельных файлах, поменять пароли...

12.03.2010, 19:56	#12 (ссылка)
v119 Новичок Регистрация: 11.03.2010 Сообщений: 8 Репутация: 1	Понял. В последнем virusinfo_syscheck ничего плохого уже нет? ---------- Добавлено в 18:56 ---------- Предыдущее сообщение было написано в 16:07 ---------- Пытался искать Trojan.Win32.Scar.Btuw Trojan.MulDrop Trojan.Siggen1 Trojan.PWS.Ibank Упоминания находятся, но описаний ни одного

13.03.2010, 13:17	#14 (ссылка)
v119 Новичок Регистрация: 11.03.2010 Сообщений: 8 Репутация: 1	Огромное спасибо за помощь!

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads