Перейти к содержанию
Авторизация  
Irbis73

Проводник тянет из сети вирус

Рекомендуемые сообщения

Добрый день!

 

Предистория. Пользователь жалуется, что через некоторое время работы пропадает интернет. После перезагрузки все опять работает, но только некоторое время 30-60 минут.

 

Обнаружил, что Касперский убивает во временной папке вирусы:

Trojan-Downloader.Win32.Agent.torm

Trojan.Win32.Jorik.IRCbot.efa

Trojan.Win32.Jorik.Tedroo.dr

Trojan-Dropper.Win32.Injector.adcz

Похоже когда Касперский убивает вирус пропадает сетевое подключение.

 

Сделал восстановление проводника с помощью команд AVZ - не помогло.

Сделал проверку компьютера. Результат в приложенных файлах. Backup.zip - ключи реестра созданные AVZ.

virusinfo_syscure.zip

virusinfo_syscheck.zip

avz.txt

hijackthis.log

Backup.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\Mafofa.exe','');
DeleteFile('C:\Documents and Settings\l.orlova\Application Data\Mafofa.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mafofa');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

т.е. кроме логов AVZ ещё требуются логи RSIT

перед созданием логов RSIT очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все сделал согласно инструкции.

AVZ обнаружил подмену проводника - сделал восстановление.

mbam подчистил вирусы.

После этого работает стабильно.

Ответа о вирусе пока не дождался.

 

Спасибо!

 

Одно не пойму, что означает "ошибка микропроцесса 385" при сканировании AVZ.

virusinfo_syscure.zip

virusinfo_syscheck.zip

mbam_log_2011_12_06__12_08_20_.txt

info.txt

log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Одно не пойму, что означает "ошибка микропроцесса 385" при сканировании AVZ.

не обращайте внимания

 

Удалите в MBAM:

 

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zaber0 (Worm.Dorkbot) -> Value: zaber0 -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,explorer.exe) Good: (Explorer.exe) -> No action taken.

Зараженные файлы:
c:\documents and settings\l.orlova\application data\D.tmp (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028841.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028853.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028862.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028906.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028913.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029139.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029147.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029157.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029167.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029177.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029185.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029193.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029202.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029212.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029268.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP203\A0029351.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP205\A0030503.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\l.orlova\application data\16.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\l.orlova\application data\17.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\l.orlova\application data\18.tmp (Trojan.Agent) -> No action taken.

 

приложите новый отчёт.

c:\program files\TrafInsp\Agent\trafinspag_tollbar.dll

проверьте на virustotal.com

ссылку приложите.

Изменено пользователем Roman_Five

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В MBAM удалил сразу.

вот лог.

c:\program files\TrafInsp\Agent\trafinspag_tollbar.dll - это агент трафик инспектора.

mbam_log_2011_12_07__14_37_50_.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте MBAM

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\*.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
DeleteFileMask('C:\Documents and Settings\l.orlova\Application Data\','*.tmp ',false,' ');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте контрольные логи AVZ и RSIT по правилам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При выполнении 1 скрипта, после предупреждения об отключении сетевых подключений, выходит синий экран смерти и сразу перезагружается компьютер. Попытку повторил 2 раза. Карантийных файлов соответственно нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не выполнили!

Деинсталлируйте MBAM

 

выполните скрипт в AVZ:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\*.tmp','');
DeleteFileMask('C:\Documents and Settings\l.orlova\Application Data\','*.tmp ',false,' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Перезагрузка.

 

повторите логи RSIT

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

MBAM удалил через панель управления. Теперь его там нет. Установочной папки в c:\Program Files тоже нет.

 

запустил скрипт. успел увидеть "stop tcpip /y", после чего вышел синий экран смерти и компьютер перезагрузился. Касперский в этот момент был выгружен. Файрвол не установлен.

 

Новые логи приложены.

info.txt

log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

пофиксите в Hijackthis:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

вручную удалите

C:\Documents and Settings\l.orlova\Application Data\9.tmp

 

avz- файл - стандартные скрипты - скрипт № 6 - выполнить

 

сделайте новые логи RSIT

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...