Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Троян [LOG?]

Dgeday

Автор Dgeday
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Dgeday

Dgeday

Опубликовано
Опубликовано (изменено)

Подцепили судя по всему трояна. В трее вылез красный круг с белым крестом и выдаёт переодически сообщение типа: "Ваш компьютер инфицирован ..." и всё такое, на форуме уже писали о подобном. Проблема в следующем: на компьютере стоял КАВ 2009, который сразу перестал работать и вручную тоже не запускается. Также не запускаются ни avz ни HiJackThis, такое ощущение, что эта гадость просто срубает эти процессы, по крайней мере на экране ни чего не появляется :yes: ...

 

Подскажите плз, что сделать можно ...

 

Нда, стоило глаза открыть ... :huh:

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Сразу добавлю, удалось поставить NOD32, пытался им лечить, толк был но очень мало. R_server установлен намеренно ...

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано (изменено)

1. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

2. Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

3. Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- На приглашение введите строку:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного

 

4. Сделайте новые логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
Dgeday

Dgeday

Опубликовано
  • Автор
Опубликовано (изменено)

Всё сделал.

 

Файл quarantine.zip отпарвил на newvirus@kaspersky.com. Жду ответа.

 

Из консоли восстановления заменить файлы не удалось.

В первом случае было сообщение: "Не удаётся найти указанный файл или папку". Потом понял почему, в дистрибутиве нет файла ntfs.sy_, а есть ntfs.sys.

 

Во втором случае выдал сообщение: "Не удаётся создать файл beep.sys. 0 файлов скопировано".

 

Грузанул Live CD и ручками всё заменил.

 

После перезагрузки красный круг с белым крестом исчез, но по состоянию сетевого подключения видно, что обмен трафиком просто огромный. Поэтому на время отрубил Инет и сюда пишу с другого компа.

 

post-11087-1250075662_thumb.jpg

 

Также выкладываю новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Dgeday
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано (изменено)

Вместо команды expand можно использовать обычный архиватор (например, Winrar).

Попробуйте сделать следующее:

 

1. Вставить диск с дистрибутивом и распаковать beep.sy_ в какую-либо папку

 

2. Загрузиться с LiveCD и скопировать распакованный файл в папку C:\WINDOWS\System32\Drivers

 

3. Пофиксить в HiJack

 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O20 - AppInit_DLLs: cru629.dat

 

4. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

5. Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

6. Сделайте новые логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
Dgeday

Dgeday

Опубликовано
  • Автор
Опубликовано (изменено)
Вместо команды expand можно использовать обычный архиватор (например, Winrar).

Попробуйте сделать следующее:

 

1. Вставить диск с дистрибутивом и распаковать beep.sy_ в какую-либо папку

 

2. Загрузиться с LiveCD и скопировать распакованный файл в папку C:\WINDOWS\System32\Drivers

 

Всё это я уже сделал, описал это в предыдущем посте.

 

Грузанул Live CD и ручками всё заменил.

 

Я так понимаю, что пункты 1 и 2 можно пропустить ?!...

Изменено пользователем Dgeday
Ссылка на комментарий
Поделиться на другие сайты
Dgeday

Dgeday

Опубликовано
  • Автор
Опубликовано

Всё сделал, жду очередного ответа от ЛК.

 

Трафик прилично снизился, но всёравно выражается шести-семизначными числами.

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Уж не знаю, как Вы его заменяли...

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Beep');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Сделать новые логи. Что с трафиком?

Ссылка на комментарий
Поделиться на другие сайты
Dgeday

Dgeday

Опубликовано
  • Автор
Опубликовано

Ответ на перый файл, отправленный в ЛК:

 

"В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

Backdoor.Win32.Small.ejx"

 

Вот логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Трафик, к сожалению, по прежнему большой :lol: ...

Ссылка на комментарий
Поделиться на другие сайты
Falcon

Falcon

Опубликовано
Опубликовано

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Включите AVZPM (в AVZ выбрать первую строчку в соответствующем меню программы). Сделайте новые логи.

 

Дополнительно сделайте отчет утилиты GSI (ссылка в моей подписи)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...