Троян в папке Drivers

17 сентября, 2008

Доброй ночи ! У меня такая проблемма заразили флешку 15.09.2008 20:29:58 Real-time file system protection file H:\= ПОРНО ВИДЕО =\Электрошок\ВИДЕО - Электрошок.exe Win32/PornRun.B worm NT AUTHORITY\SYSTEM Event occurred during an attempt to access the file by the application: C:\WINDOWS\Explorer.EXE. не знаю правильно ли я это описал . После очистки флешки антивирусом я пользуюсь NOD 32 версия 3.0.560 базы обновляю регулярно . флешка перестала отвечать на запросы пришлось форматировать не помогло пришлось использовать спец софт для лечения всё вроде норм. НО теперь при каждой перезагрузке системы антивирь находит вирус постоянно с разным именем но всегда в одной и той же папке Drivers например: C:\WINDOWS\System32\drivers\Cio16.sys Win32/Wigon.ER trojan \?\C:\WINDOWS\System32\svchost.exe. или 17.09.2008 9:57:06 Real-time file system protection file C:\WINDOWS\System32\drivers\tcpsr.sys Win32/Wigon.BY trojan C:\WINDOWS\System32\svchost.exe. и так до бесконечности перестал работать IE плохо работает OPERA страници открываются медленно а менеджер заакачек качает с нормальной скоростью . Пользовательское сканирование никаких результатов не приносит .Конечно можно сделать откат Acronis или переставить систему но это слишком просто .Помогите

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

18 сентября, 2008

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ygl38.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pvc85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pub17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cio16.sys','');
QuarantineFile('c:\windows\system32\cpl32ver.exe','');
TerminateProcessByName('c:\windows\system32\cpl32ver.exe');
DeleteFile('c:\windows\system32\cpl32ver.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Cio16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pub17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pvc85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ygl38.sys');
BC_ImportAll;
BC_DeleteSvc('Cio16');
BC_DeleteSvc('Pvc85');
BC_DeleteSvc('Pub17');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Ygl38');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

В АВЗ выполните:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите quarantine.zip из папки с АВЗ - на адрес 54712@rambler.ru в письме укажите ссылку на тему.

Повторите логи.

Изменено 18 сентября, 2008 пользователем wise-wistful

18 сентября, 2008

Здравствуйте!

А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт?

Я бы Вам посоветовал скачать бесплатную лечащую утилиту отсюда:

http://dnl-eu12.kaspersky-labs.com/devbuilds/AVPTool/

И проверить с помощью неё компьютер из Безопасного режима.

Ну и, в дальнейшем, переходите на продукцию ЛК.

Если Вы зарегистрированный лицензионный пользователь нод32, то переход на антивирус касперского будет для Вас с 50% скидкой!

18 сентября, 2008

А почему Вы не обратились в поддержку ESET раз у Вас установлен их продукт?

Можно предположить, что у них с поддержкой туго.

18 сентября, 2008

WIse-wistful большое человеческое спасибо ! За помощь и участие ! Выполнил все твои указания вроде заработало отлично ! Выкладываю новые логи если есть пара свободных минут несколько слов о способах заражения. Еще раз СПАСИБО !

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

18 сентября, 2008

Это что такое?

C:\Documents and Settings\Виталик\Local Settings\Application Data\CyberDefender\cdmyidd.dll

C:\WINDOWS\system32\Drivers\appdrv01.sys

P.S. Модуль MyCentria выжил.

Изменено 18 сентября, 2008 пользователем Falcon

18 сентября, 2008

Ещё не всё.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vdj06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oub52.sys','');
QuarantineFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll','');
DeleteFile('C:\PROGRA~1\MyCentria\InfoBar\MyCentriaInfoBar.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Oub52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vdj06.sys');
BC_ImportAll;
BC_DeleteSvc('Oub52');
BC_DeleteSvc('Vdj06');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus.

2.Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Повторите логи.

18 сентября, 2008

Всё сделал по пунктам как Вы сказали WISE-WISTFUL жду !

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

18 сентября, 2008

В логах чисто,жалобы есть?

19 сентября, 2008

Огромное Вам спасибо всем кто участвовал в операции по"Спасению " моего компа !! Отдельное СПАСИБО wise-wistful за небезразличное отношение ! Спасибо всё работает !

19 сентября, 2008

А мне вот интересно: вы по-прежнему пользуетесь ESET NOD32 или убедились на собственном опыте, что не такой-то он и надежный и решили переходить на продукцию Лаборатории Касперского? Честно, чисто спортивный интерес...

19 сентября, 2008

Олег777 Всё не итак просто как кажется на первый взгляд . Я не оспариваю отличной работы Лаборратории Касперского и её програмного обеспечения .Но преимущество очевидно , только в чём ? В способностях и умении отдельных Людей которые проявили интерес к решению проблеммы я имею ввиду : wise-wistful, Гриша, Falcon . но ведь сам по себе AVZ не нашол проблему без спец скриптов .Олег777 я надеюсь, что я не вызвал у Вас раздражение своим ответом ?( Пробовал я у меня машина тупит и виснет , мощьный он слишком )

19 сентября, 2008

Т.е. при установке КИС2009 наблюдаются тормоза на компе?

А какой конфигурации компьютер?

Возможно мы сможем настроить на нормальной работы, поверьте опыт у нас в этом богатый

Троян в папке Drivers

Рекомендуемые сообщения

rumek

Ссылка на комментарий

Поделиться на другие сайты

ТроПа

Ссылка на комментарий

Поделиться на другие сайты

Олег777

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

rumek

Ссылка на комментарий

Поделиться на другие сайты

Falcon

Ссылка на комментарий

Поделиться на другие сайты

ТроПа

Ссылка на комментарий

Поделиться на другие сайты

rumek

Ссылка на комментарий

Поделиться на другие сайты

Гриша

Ссылка на комментарий

Поделиться на другие сайты

rumek

Ссылка на комментарий

Поделиться на другие сайты

Олег777

Ссылка на комментарий

Поделиться на другие сайты

rumek

Ссылка на комментарий

Поделиться на другие сайты

Kapral

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum