Перейти к содержанию

Троян [LOG?]


Рекомендуемые сообщения

Подцепили судя по всему трояна. В трее вылез красный круг с белым крестом и выдаёт переодически сообщение типа: "Ваш компьютер инфицирован ..." и всё такое, на форуме уже писали о подобном. Проблема в следующем: на компьютере стоял КАВ 2009, который сразу перестал работать и вручную тоже не запускается. Также не запускаются ни avz ни HiJackThis, такое ощущение, что эта гадость просто срубает эти процессы, по крайней мере на экране ни чего не появляется :yes: ...

 

Подскажите плз, что сделать можно ...

 

Нда, стоило глаза открыть ... :huh:

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Сразу добавлю, удалось поставить NOD32, пытался им лечить, толк был но очень мало. R_server установлен намеренно ...

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты

1. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

2. Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

3. Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- На приглашение введите строку:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного

 

4. Сделайте новые логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

Всё сделал.

 

Файл quarantine.zip отпарвил на newvirus@kaspersky.com. Жду ответа.

 

Из консоли восстановления заменить файлы не удалось.

В первом случае было сообщение: "Не удаётся найти указанный файл или папку". Потом понял почему, в дистрибутиве нет файла ntfs.sy_, а есть ntfs.sys.

 

Во втором случае выдал сообщение: "Не удаётся создать файл beep.sys. 0 файлов скопировано".

 

Грузанул Live CD и ручками всё заменил.

 

После перезагрузки красный круг с белым крестом исчез, но по состоянию сетевого подключения видно, что обмен трафиком просто огромный. Поэтому на время отрубил Инет и сюда пишу с другого компа.

 

post-11087-1250075662_thumb.jpg

 

Также выкладываю новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Dgeday
Ссылка на комментарий
Поделиться на другие сайты

Вместо команды expand можно использовать обычный архиватор (например, Winrar).

Попробуйте сделать следующее:

 

1. Вставить диск с дистрибутивом и распаковать beep.sy_ в какую-либо папку

 

2. Загрузиться с LiveCD и скопировать распакованный файл в папку C:\WINDOWS\System32\Drivers

 

3. Пофиксить в HiJack

 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O20 - AppInit_DLLs: cru629.dat

 

4. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

5. Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

6. Сделайте новые логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

Вместо команды expand можно использовать обычный архиватор (например, Winrar).

Попробуйте сделать следующее:

 

1. Вставить диск с дистрибутивом и распаковать beep.sy_ в какую-либо папку

 

2. Загрузиться с LiveCD и скопировать распакованный файл в папку C:\WINDOWS\System32\Drivers

 

Всё это я уже сделал, описал это в предыдущем посте.

 

Грузанул Live CD и ручками всё заменил.

 

Я так понимаю, что пункты 1 и 2 можно пропустить ?!...

Изменено пользователем Dgeday
Ссылка на комментарий
Поделиться на другие сайты

Всё сделал, жду очередного ответа от ЛК.

 

Трафик прилично снизился, но всёравно выражается шести-семизначными числами.

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Уж не знаю, как Вы его заменяли...

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Beep');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Сделать новые логи. Что с трафиком?

Ссылка на комментарий
Поделиться на другие сайты

Ответ на перый файл, отправленный в ЛК:

 

"В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

Backdoor.Win32.Small.ejx"

 

Вот логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Трафик, к сожалению, по прежнему большой :lol: ...

Ссылка на комментарий
Поделиться на другие сайты

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Включите AVZPM (в AVZ выбрать первую строчку в соответствующем меню программы). Сделайте новые логи.

 

Дополнительно сделайте отчет утилиты GSI (ссылка в моей подписи)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...