Троянцы атакуют

Tanolemur · 09.11.2011, 13:14

Помогите избавится от троянов.

После проверки Dr. Web и соответсвенно лечения и удаление всех вирусов, они появляются заново. Постоянно занят процесор на 100% и интернет (чего-то они там отсылают).

*regist* · 09.11.2011, 20:36

Здравствуйте!

Закройте все программы

Отключите

- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\tools\dialer2000\dialer2000.exe');
 StopService('Volksocs');
 QuarantineFile('C:\Users\DR\AppData\Roaming\aon32.exe','');
 QuarantineFile('Volksocs.sys','');
 QuarantineFile('C:\Tools\Dialer2000\advert.dll','');
 QuarantineFile('c:\tools\dialer2000\dialer2000.exe','');
 DeleteFile('C:\Users\DR\AppData\Roaming\aon32.exe');
BC_ImportAll;
ExecuteSysClean;
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пофиксьте в HijackThis

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=UA&install_date=20111018&user_guid=D22DA13613364BF19A67204C03CFA9DA&machine_id=c32abace41aeac4536d1c9c5eab74a63&browser=IE&os=win&os_version=6.1-x86-SP0
R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [t2fview] C:\Users\DR\AppData\Roaming\aon32.exe

- Файл quarantine.zip из папки AVZ пришлите на почту

, укажите в письме ссылку на тему, в которой просили прислать файлы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Tanolemur · 10.11.2011, 09:42

Здравствуйте!

Скрипты сделала и профиксила , только (O4 - HKCU\..\Run: [t2fview] C:\Users\DR\AppData\Roaming\aon32.exe) этого не нашла

.
Файл на почту отправила.
Логи счас сделаю.
Заранее спасибо !!!

Tanolemur · 11.11.2011, 16:53

Вот
virusinfo_syscheck.zip

hijackthis.log

*regist* · 11.11.2011, 18:25

Здравствуйте!

Закройте все программы

Отключите

- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Volksocs');
 QuarantineFile('Volksocs.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Volksocs.sys','');
 QuarantineFile('C:\Users\Tanya\AppData\Roaming\wsprintsrv.exe','');
 QuarantineFile('C:\Users\Tanya\AppData\Roaming\aon32.exe','');
 DeleteFile('C:\Users\Tanya\AppData\Roaming\aon32.exe');
 DeleteFile('C:\Users\Tanya\AppData\Roaming\wsprintsrv.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-246609769-2606963968-3513626133-1001\Software\Microsoft\Windows\CurrentVersion\Run','t2fview');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-246609769-2606963968-3513626133-1001\Software\Microsoft\Windows\CurrentVersion\Run','dsm8dasds');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ пришлите на почту

, укажите в письме ссылку на тему, в которой просили прислать файлы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Добавлено через 14 минут
Проверьте на http://www.virustotal.com/ файл C:\WINDOWS\System32\Drivers\Volksocs.sys ссылку на результат проверки напишите здесь.

Tanolemur · 12.11.2011, 01:04

Вот повторно

А файла Volksocs.sys у меня нет

*regist* · 12.11.2011, 10:01

Что с проблемами ?

Tanolemur · 14.11.2011, 11:12

Все ОК! Троянцы побеждены и комп работает нормально.
Огромное спасибо

*regist* · 14.11.2011, 12:19

Tanolemur, рекомендую установите Service Pack 1 для Windows 7.

09.11.2011, 20:36	#2
regist Айболит-2010 Пол: Регистрация: 09.09.2008 Сообщений: 3,335 Репутация: 3329	Re: Троянцы атакуют Здравствуйте! Закройте все программы Отключите - ПК от интернета/локалки. - Антивирус и Файрвол - Системное восстановление Выполните скрипт в АВЗ - Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\tools\dialer2000\dialer2000.exe'); StopService('Volksocs'); QuarantineFile('C:\Users\DR\AppData\Roaming\aon32.exe',''); QuarantineFile('Volksocs.sys',''); QuarantineFile('C:\Tools\Dialer2000\advert.dll',''); QuarantineFile('c:\tools\dialer2000\dialer2000.exe',''); DeleteFile('C:\Users\DR\AppData\Roaming\aon32.exe'); BC_ImportAll; ExecuteSysClean; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - выполните такой скрипт Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Пофиксьте в HijackThis Код: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=UA&install_date=20111018&user_guid=D22DA13613364BF19A67204C03CFA9DA&machine_id=c32abace41aeac4536d1c9c5eab74a63&browser=IE&os=win&os_version=6.1-x86-SP0 R3 - Default URLSearchHook is missing O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O4 - HKCU\..\Run: [t2fview] C:\Users\DR\AppData\Roaming\aon32.exe - Файл quarantine.zip из папки AVZ пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы. - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log) __________________ Когда вы думаете о себе - у вас есть проблемы, когда вы думаете о других - у вас есть интересные задачи. Лама Оле Нидал Настоятельно рекомендую прочитать !!! Последний раз редактировалось regist; 18.11.2011 в 10:22..

10.11.2011, 09:42	#3
Tanolemur Неактивный пользователь Пол: Регистрация: 16.04.2008 Сообщений: 9 Репутация: 5	Re: Троянцы атакуют Здравствуйте! Скрипты сделала и профиксила , только (O4 - HKCU\..\Run: [t2fview] C:\Users\DR\AppData\Roaming\aon32.exe) этого не нашла . Файл на почту отправила. Логи счас сделаю. Заранее спасибо !!!

11.11.2011, 16:53	#4
Tanolemur Неактивный пользователь Пол: Регистрация: 16.04.2008 Сообщений: 9 Репутация: 5	Re: Троянцы атакуют Вот virusinfo_syscheck.zip hijackthis.log

11.11.2011, 18:25	#5
regist Айболит-2010 Пол: Регистрация: 09.09.2008 Сообщений: 3,335 Репутация: 3329	Re: Троянцы атакуют Здравствуйте! Закройте все программы Отключите - ПК от интернета/локалки. - Антивирус и Файрвол - Системное восстановление Выполните скрипт в АВЗ - Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Volksocs'); QuarantineFile('Volksocs.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Volksocs.sys',''); QuarantineFile('C:\Users\Tanya\AppData\Roaming\wsprintsrv.exe',''); QuarantineFile('C:\Users\Tanya\AppData\Roaming\aon32.exe',''); DeleteFile('C:\Users\Tanya\AppData\Roaming\aon32.exe'); DeleteFile('C:\Users\Tanya\AppData\Roaming\wsprintsrv.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-21-246609769-2606963968-3513626133-1001\Software\Microsoft\Windows\CurrentVersion\Run','t2fview'); RegKeyParamDel('HKEY_USERS','S-1-5-21-246609769-2606963968-3513626133-1001\Software\Microsoft\Windows\CurrentVersion\Run','dsm8dasds'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - выполните такой скрипт Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы. - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log) Добавлено через 14 минут Проверьте на http://www.virustotal.com/ файл C:\WINDOWS\System32\Drivers\Volksocs.sys ссылку на результат проверки напишите здесь. __________________ Когда вы думаете о себе - у вас есть проблемы, когда вы думаете о других - у вас есть интересные задачи. Лама Оле Нидал Настоятельно рекомендую прочитать !!! Последний раз редактировалось regist; 11.11.2011 в 18:40..

12.11.2011, 10:01	#7
regist Айболит-2010 Пол: Регистрация: 09.09.2008 Сообщений: 3,335 Репутация: 3329	Re: Троянцы атакуют Что с проблемами ? __________________ Когда вы думаете о себе - у вас есть проблемы, когда вы думаете о других - у вас есть интересные задачи. Лама Оле Нидал Настоятельно рекомендую прочитать !!!

14.11.2011, 11:12	#8
Tanolemur Неактивный пользователь Пол: Регистрация: 16.04.2008 Сообщений: 9 Репутация: 5	Re: Троянцы атакуют Все ОК! Троянцы побеждены и комп работает нормально. Огромное спасибо

14.11.2011, 12:19	#9
regist Айболит-2010 Пол: Регистрация: 09.09.2008 Сообщений: 3,335 Репутация: 3329	Re: Троянцы атакуют Tanolemur, рекомендую установите Service Pack 1 для Windows 7. __________________ Когда вы думаете о себе - у вас есть проблемы, когда вы думаете о других - у вас есть интересные задачи. Лама Оле Нидал Настоятельно рекомендую прочитать !!!

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Меня атакуют!!!!	david	Архив	3	03.02.2007 23:54
Вас атакуют?	Dizzi	Фаерволы	0	15.07.2005 23:49