IRC Trojan
|
![]() Старожил Сообщения: 286 |
Раз или два на день Symnantec находит два файла типа: C:\user\{юзер}\appdata\local\temp\dwh3f50.tmp. Причем .tmp всегда разный. Ставил программы для удаления троянов, сканил систему другим антивиром (Авира) - ни чего не находит. Подскажите как с этим бороться?
ОС Vista Ultimate SP1 х64 Avz4 виснет и вылетает |
|
------- Отправлено: 18:36, 11-09-2008 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Master-ok, c помощью cureit и AVPTool проверялись? AVZ запускали с правами администратора (прав. кн. мыши - запустить от администратора)? Могли бы и логи DSS сделать по правилам. Деинсталлируйте Trojan Remover
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected" Откройте лог и скопируйте в сообщение. Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix). 1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению. Попробуйте сделать логи AVZ, запустив его с правами администратора. |
------- Отправлено: 19:22, 11-09-2008 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
![]() скептик-оптимист Сообщения: 5718
|
Профиль | Отправить PM | Цитировать А сюда на онлайн проверку заходили ?
|
------- Отправлено: 19:22, 11-09-2008 | #3 |
![]() Старожил Сообщения: 286
|
Профиль | Отправить PM | Цитировать Malwarebytes' Anti-Malware после быстрой проверки (полная после ни чего не дала):
Malwarebytes' Anti-Malware 1.28 Версия базы данных: 1141 Windows 6.0.6001 Service Pack 1 11.09.2008 18:38:52 mbam-log-2008-09-11 (18-38-36).txt Тип проверки: Быстрая Проверено объектов: 39700 Прошло времени: 2 minute(s), 23 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 5 Заражено значений реестра: 0 Заражено параметров реестра: 0 Заражено папок: 0 Заражено файлов: 1 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> No action taken. Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: C:\Program Files (x86)\WebMoney Advisor\tbhelper.dll (Trojan.BHO) -> No action taken. ComboFix не поддерживает операционку AVZ4 (как я писал) запускается, но при выполнении 3-го скрипта зависает и вылетает cureit : mycentriainfobar.dll c:\program files (x86)\mycentria\infobar |
------- Отправлено: 09:59, 12-09-2008 | #4 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Один только лог HJT малоинформативен, нужны др. логи
Цитата Master-ok:
Vista Cleaning Procedure - MajorGeeks Support Forums A guide and tutorial on using ComboFix Цитата Master-ok:
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" O2 - BHO: MyCentria Internet Mate v1.9 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.3.7.cab или выполните в AVZ скрипт begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\appdrvrem01.exe',''); QuarantineFile('C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL',''); DeleteFile('C:\Windows\System32\appdrvrem01.exe'); DeleteFile('C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DeleteService('appdrvrem01'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
|||
------- Отправлено: 11:03, 12-09-2008 | #5 |
![]() Старожил Сообщения: 286
|
Профиль | Отправить PM | Цитировать "Remove Selected" нажал сразу после сканирования
"Fix Checked" сделал, вот только не пойму: MyCentria Internet Mate v1.9 это ж вроде надстройка IE ... А AVZ не за работал ни при каких уловиях. Останавливается после (красным пишет протоколе) Функция user32.dll:DefWindowProcW(151) перехвачена, метод ProcAddressHijack.GetProcAddress->77... |
------- Отправлено: 12:57, 12-09-2008 | #6 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Цитата Master-ok:
Попробуйте запустить combofix в безопасном режиме. Попробуйте сделать логи так AVZ - файл - исследование системы - пуск - сохранить протокол Если не получится, то в безопасном режиме AVZ - файл - исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - пуск - сохранить протокол Запакуйте лог и прикрепите. Логи DSS тоже не делаются? В таком случае скачайте RSIT и сохраните на рабочий стол, закройте все программы, включая антивирусные программы и firewall, запустите RSIT.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла log.txt и info.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из log.txt и info.txt и вставьте (Ctrl+V) скопированный текст из log.txt и info.txt в окно вашего сообщения, если логи окажутся большими, запакуйте файлы log.txt и info.txt и прикрепите к сообщению |
|
------- Последний раз редактировалось Pili, 12-09-2008 в 14:36. Отправлено: 13:49, 12-09-2008 | #7 |
![]() Старожил Сообщения: 286
|
Профиль | Отправить PM | Цитировать Combfix не работает
|
------- Последний раз редактировалось Master-ok, 20-10-2010 в 15:08. Отправлено: 15:31, 12-09-2008 | #8 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Master-ok, В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус
begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('appdrv01'); SetServiceStart('appdrv01', 4); QuarantineFile('C:\Windows\System32\Drivers\appdrv01.sys',''); QuarantineFile('C:\Windows\VMix.dll',''); DeleteService('appdrv01'); DeleteFile('C:\Windows\System32\Drivers\appdrv01.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('appdrv01'); BC_Activate; RebootWindows(true); end. Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему Повторите логи AVZ |
------- Отправлено: 17:51, 12-09-2008 | #9 |
![]() Старожил Сообщения: 286
|
Профиль | Отправить PM | Цитировать Вообщем скрипт не выполнился - программа вывалилась с ошибкой (см. выше). Удалил все в ручную. После перезагрузки выкинуло ошибку на запуск программы управления звуковым кодеком СМ6501 (панель в трее тоже не заработала).
Что интересно, при удалении VMix.dll винда говорила о том, что используется другим приложением. Но удалить попыталась, при этом выскочил Symayntec. Были обнаружены файлы как описывал в топе с IRC Trojan |
------- Отправлено: 18:30, 12-09-2008 | #10 |
|
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
[решено] обнаружены вирусы Trojan.Win32.Patched.fr и Trojan.Win32.ВНО.isy | levss_09 | Лечение систем от вредоносных программ | 6 | 25-11-2009 23:00 | |
trojan.pandex, trojan.horse, hacktool.proxy | YDen | Лечение систем от вредоносных программ | 1 | 14-11-2008 21:22 | |
IRC чат | lxa85 | Хочу все знать | 1 | 19-02-2008 17:14 |
|