Трояны. - Страница 4

Herokiller · 18.08.2010, 20:05

Iljeben, успел диск С просканировать, http://exfile.ru/120572 этого хватит?

Iljeben · 18.08.2010, 20:46

Herokiller, удалите в MBAM:

Код:

Зараженные процессы в памяти:
C:\Program Files\Common Files\System\sqlserv.exe (Trojan.Agent) -> No action taken.

Зараженные модули в памяти:
c:\WINDOWS\system32\idsasvstart.dll (Malware.Packer) -> No action taken.

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idssrv (Malware.Packer) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sqldebuger (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx1c987224} (Virus.Sality) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken.

Iljeben · 18.08.2010, 20:47

Код:

Зараженные файлы:
c:\WINDOWS\system32\idsasvstart.dll (Malware.Packer) -> No action taken.
C:\Program Files\Common Files\System\sqlserv.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\LocalService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\OV29SJU7\A16[1].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\OV29SJU7\A16[2].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\RVOL96EC\A16[1].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\RVOL96EC\A16[2].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\RVOL96EC\A16[3].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\RVOL96EC\A16[4].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\WXSHALOD\A16[1].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\9JK4VZBE\epfsx[1].gif (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\9JK4VZBE\ohixnp[1].jpg (Worm.Conficker) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\9JK4VZBE\rloph[1].jpg (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\9JK4VZBE\utwdegx[1].gif (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\HRK81EH8\hggm[1].bmp (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\HRK81EH8\wvjtcvy[1].gif (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\HRX7LIJK\jywe[1].png (Worm.Conficker) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\HRX7LIJK\mynpe[1].bmp (Worm.Downadup) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\HRX7LIJK\rvim[1].bmp (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\RFTQ0SBC\bhkasii[1].gif (Worm.Conficker) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\RFTQ0SBC\mawnliz[1].jpg (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\RFTQ0SBC\mmog[1].jpg (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\RFTQ0SBC\restrzy[1].jpg (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY.002\Local Settings\Temporary Internet Files\Content.IE5\RFTQ0SBC\zmjfzcdl[1].bmp (Extension.Mismatch) -> No action taken.
C:\Program Files\xampp\xampp-portcheck.exe (Spyware.Onlinegames) -> No action taken.
C:\WINDOWS\system\csrss.exe (Trojan.Swisyn) -> No action taken.
C:\WINDOWS\system32\CDClose.dll (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\gff6.exe (Trojan.Swisyn) -> No action taken.
C:\WINDOWS\system32\Mcaerfe.exe (Malware.NSPack) -> No action taken.
C:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\ldsasclib.dll (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\wipsbde32.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\FK6ZQ4IO\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\GI4E1UCZ\E001.exe (Malware.Packer) -> No action taken.

Iljeben · 18.08.2010, 20:47

Код:

C:\WINDOWS\system32\GPIYQJW7\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\IAZTFUBR\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\IYPVB1ZE\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\HKS53100\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\FT0QMEYY\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\G8XU3Y5G\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\IMFX68P1\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\IMNKKBBE\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\ZF32BFND\A16.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\HUHBHKRO\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\GWZI8KE4\E001.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\GYPIOG1R\E001.exe (Malware.Packer) -> No action taken

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\427tneqm\p001.exe');
 TerminateProcessByName('c:\windows\system32\77er70f1\h001.exe');
 DeleteFile('c:\windows\system32\77er70f1\h001.exe');
 DeleteFile('c:\windows\system32\427tneqm\p001.exe');
 DeleteFile('C:\WINDOWS\system32\idsasvstart.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\IdsSrv\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Выполните Стандартный скрипт 2 и выложите новый архив virusinfo_syscheck.zip.
Плюс проверьтесь этой утилитой. Результат проверки сообщите.

Herokiller · 18.08.2010, 20:50

комп перезагрузил, теперь нужно опять запускать сканер, чтобы удалить??

Iljeben · 18.08.2010, 20:55

Herokiller, вот так удаляйте:

Код:

Запустите MBAM 
- выберите Perform Full Scan (Провести полную проверку) 
- нажмите Scan (Проверить) 
- после сканирования выберите Ок и далее Show Results (Показать результаты) 
- нажмите Remove Selected (удалить выделенные).

И удаляйте указанные строки.

Herokiller · 18.08.2010, 22:31

Iljeben, вот http://exfile.ru/120588

некоторых строк не было

проблемы остались, видимо не все удалил

Iljeben · 18.08.2010, 23:04

Herokiller, вот этот файл c:\windows\system32\debug.dll проверьте на virustotal.com. Результат сообщите.
Файл подкачки попробуйте выставить побольше или по выбору системы. Кстати Вы провели проверку утилитой Sality_Off, нашел что нибудь?

З.ы. Что шас беспокоит?

Herokiller · 18.08.2010, 23:36

Iljeben, Sality_Off запускал, не понял что он должен найти

те же сообщения аваста, H001.exe итд

с памятью проблема осталась

еще аваст на svchost жалуется

---------- Добавлено в 21:28 ---------- Предыдущее сообщение было написано в 21:22 ----------

проверил debug.dll

http://www.virustotal.com/file-scan/...ffd-1282155965

---------- Добавлено в 21:32 ---------- Предыдущее сообщение было написано в 21:28 ----------

еще раз просканировал МБАМ

http://exfile.ru/120594

---------- Добавлено в 21:36 ---------- Предыдущее сообщение было написано в 21:32 ----------

аваст жалуется на ftp.exe gff6.exe

Iljeben · 18.08.2010, 23:37

Цитата:

Сообщение от Iljeben

вот этот файл c:\windows\system32\debug.dll проверьте на virustotal.com.

Что по этому файлу c:\windows\system32\debug.dll где результат проверки??

Цитата:

Сообщение от Herokiller

Sality_Off запускал, не понял что он должен найти

Ну если ничего не нашел, то нормально.

Цитата:

Сообщение от Herokiller

с памятью проблема осталась

Проблема осталась после увеличения файла подкачки?

Вот такой лог сделайте.

Herokiller · 18.08.2010, 23:38

результат проверки http://www.virustotal.com/file-scan/...ffd-1282155965

Amne3ia · 18.08.2010, 23:38

Доброго времени суток.
Помогите пожалуйста с проблемой аналогичной топикстартера. Заколебали различные msvmiode.exe, syscache.exe, 3319.ехе, 216.exe, block.exe.

Логи AVZ http://exfile.ru/120592
hijackthis http://exfile.ru/120591
Заранее спасибо.

Iljeben · 18.08.2010, 23:48

Цитата:

Сообщение от Herokiller

еще раз просканировал МБАМ

http://exfile.ru/120594

Удалите все что указано как зараженное.

Herokiller · 18.08.2010, 23:57

Iljeben, только что я нашел 3 записи которые были в твоих предыдущих постах и в этом логе и удалил их, Мбам попросил перезагрузку, я нажал да, и при загрузке вылетел синий экран с какой-то ошибкой

я загрузил последнюю удачную загрузку.

---------- Добавлено в 21:57 ---------- Предыдущее сообщение было написано в 21:57 ----------

а что по результату проверки? debug.dll

Iljeben · 19.08.2010, 00:30

Amne3ia, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Ильдар\Application Data\ltzqai.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(13);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Плюс лог hijackthis.

19.08.2010, 00:30	#60 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Amne3ia, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Ильдар\Application Data\ltzqai.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(13); ExecuteWizard('TSW',2,3,true); BC_Activate; ClearHostsFile; RebootWindows(true); end. После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Плюс лог hijackthis.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Возможно вирусы, трояны	Valera2	Безопасность	8	23.11.2010 19:35
Трояны на компе	DarkKiber	Безопасность	9	17.11.2010 20:12
Помогите удалить трояны syscr.exe. Лог AVZ имеется.	Аlexandr	Безопасность	4	29.08.2010 16:17
Трояны не дают запустить браузер	router	Безопасность	28	31.05.2010 13:14
помогите пожалуйста вылечить компьютер. трояны одолели	akb607	Безопасность	12	18.04.2010 20:38
Трояны в system32	Max_NV	Windows XP	23	05.03.2010 00:12
Трояны и спамы	Даниэль	Безопасность	3	27.02.2010 01:26
Трояны задолбали!!!	Эзен	Безопасность	2	30.04.2008 18:06

18.08.2010, 20:05	#46 (ссылка)
Herokiller Новичок Регистрация: 18.08.2010 Сообщений: 20 Репутация: 0	Iljeben, успел диск С просканировать, http://exfile.ru/120572 этого хватит?

18.08.2010, 20:50	#50 (ссылка)
Herokiller Новичок Регистрация: 18.08.2010 Сообщений: 20 Репутация: 0	комп перезагрузил, теперь нужно опять запускать сканер, чтобы удалить??

18.08.2010, 22:31	#52 (ссылка)
Herokiller Новичок Регистрация: 18.08.2010 Сообщений: 20 Репутация: 0	Iljeben, вот http://exfile.ru/120588 некоторых строк не было проблемы остались, видимо не все удалил

18.08.2010, 23:04	#53 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Herokiller, вот этот файл c:\windows\system32\debug.dll проверьте на virustotal.com. Результат сообщите. Файл подкачки попробуйте выставить побольше или по выбору системы. Кстати Вы провели проверку утилитой Sality_Off, нашел что нибудь? З.ы. Что шас беспокоит?

18.08.2010, 23:36	#54 (ссылка)
Herokiller Новичок Регистрация: 18.08.2010 Сообщений: 20 Репутация: 0	Iljeben, Sality_Off запускал, не понял что он должен найти те же сообщения аваста, H001.exe итд с памятью проблема осталась еще аваст на svchost жалуется ---------- Добавлено в 21:28 ---------- Предыдущее сообщение было написано в 21:22 ---------- проверил debug.dll http://www.virustotal.com/file-scan/...ffd-1282155965 ---------- Добавлено в 21:32 ---------- Предыдущее сообщение было написано в 21:28 ---------- еще раз просканировал МБАМ http://exfile.ru/120594 ---------- Добавлено в 21:36 ---------- Предыдущее сообщение было написано в 21:32 ---------- аваст жалуется на ftp.exe gff6.exe

18.08.2010, 23:38	#56 (ссылка)
Herokiller Новичок Регистрация: 18.08.2010 Сообщений: 20 Репутация: 0	результат проверки http://www.virustotal.com/file-scan/...ffd-1282155965

18.08.2010, 23:38	#57 (ссылка)
Amne3ia Новичок Регистрация: 18.08.2010 Сообщений: 6 Репутация: 0	Доброго времени суток. Помогите пожалуйста с проблемой аналогичной топикстартера. Заколебали различные msvmiode.exe, syscache.exe, 3319.ехе, 216.exe, block.exe. Логи AVZ http://exfile.ru/120592 hijackthis http://exfile.ru/120591 Заранее спасибо.

18.08.2010, 23:57	#59 (ссылка)
Herokiller Новичок Регистрация: 18.08.2010 Сообщений: 20 Репутация: 0	Iljeben, только что я нашел 3 записи которые были в твоих предыдущих постах и в этом логе и удалил их, Мбам попросил перезагрузку, я нажал да, и при загрузке вылетел синий экран с какой-то ошибкой я загрузил последнюю удачную загрузку. ---------- Добавлено в 21:57 ---------- Предыдущее сообщение было написано в 21:57 ---------- а что по результату проверки? debug.dll

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads