троян катюша

[62th Assassin]

Здравствуйте, непонятно где подцепил троян катюша, в результате чего встала моя работа. Касперский его не заметил, да я и не узнал бы о нем, если бы не программировал. Суть в том, что когда я начинаю создавать экзешник, выскакивает сообщение: "фатал эрор", а дальше какая-то белибирда из шарного набора символов. Затем выскакивает сообщение касперского о том, что компилятор среды обращается к файлу, зараженному катюшей и блокирует компиляцию. Пишет якобы удалил файл. Находится он кстати в папке темп. На самом же деле каждый раз этот файл появляется по новой, уже с другим именем. Касперский его не видит в упор, пробовал cure it , он удалил какой-то троян даунлоадер (я слышал это другое имя катюши), но бестолку, пробовал несколько антируткитов, не помогает. Помогите пожалуйста, что можно сделать, как удалить?

[Skarbovoy]

Для начала выполните правила раздела.

[62th Assassin]

вот логи

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Tiare]

Здравствуйте,

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\dllhosl.exe','');
QuarantineFile('C:\AKBARS\EXE\cbank.exe','');
QuarantineFile('C:\WINDOWS\system32\msajvbka.exe','');
DeleteFile('C:\WINDOWS\system32\msajvbka.exe');
DeleteFile('C:\WINDOWS\system32\dllhosl.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
DeleteService('Network Adapter Events');
DelAutorunByFileName('C:\WINDOWS\system32\dllhosl.exe');
 BC_ImportAll; 
 ExecuteSysClean;
BC_DeleteSvc('Network Adapter Events');
 BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

 

O4 - HKCU\..\Policies\Explorer\Run: [System Rescue] C:\WINDOWS\system32\dllhosl.exe

 

Если самостоятельно не выставляли запрет на изменение некоторых Свойств Обозревателя, то пофиксите эту строку тоже

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

Настройки прокси-сервера сами прописывали? 86.62.117.211:3128

 

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

 

 

Повторите логи по правилам раздела

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено 31 августа, 2011 пользователем Tiare

[62th Assassin]

Скрипты выполнил, архив на проверку отослал

 

O4 - HKCU\..\Policies\Explorer\Run: [system Rescue] C:\WINDOWS\system32\dllhosl.exe

 

эту строку не нашел, вторую пофиксил. Прокси-сервер сам менял. С сервис паком 3 я вынужден пока повременить. Без него возможно дальнейшее выполнение инструкций? Письмо пока жду.

Изменено 31 августа, 2011 пользователем 62th Assassin

[Roman_Five]

Без него возможно дальнейшее выполнение инструкций?

да, но может быть повторное заражение.

[62th Assassin]

а мне дождаться письма или можно уже сейчас заново проверить и отослать логи? Я тут кстати подумал, неполадки начались примерно после того как я пару раз использовал прокси-сервер, может ли это как-то быть связано?

[Roman_Five]

или можно уже сейчас заново проверить и отослать логи?

можно.

текста достаточно.

[62th Assassin]

вот новые логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[thyrex]

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

 

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

В остальном плохого не видно

[62th Assassin]

и что же, выходит ничем не поможешь? вирус то есть..

[thyrex]

Вы обновления установили? В чем проявляется сейчас вирус? Ибо логи плохого не показали

[62th Assassin]

мне отец сказал, что если на вирусованный компьютер сп новый ставить, то это может очень плохо выйти.. сейчас скрины дам

[Tiare]

62th Assassin, это выполнили? Где отчеты?

 

+Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[62th Assassin]

вот скрины, а насчет этого извиняюсь, как то проглядел.. сейчас займусь