Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Троян маячок, как полечить (http://forum.oszone.net/showthread.php?t=218590)

диман 21-10-2011 22:34 1778994
Троян маячок, как полечить
 
Вложений: 3
Симптомы: процессор загружен на 100% тремя процессами svchost (см. прилагаемый скрин).
Проверка DrWebCureIT говорит обнаружен и обезврежен Trojan.majachok, но проблема не исчезла.
Логи прилагаются.

S.R 21-10-2011 22:36 1778996
Добрый вечер. Сейчас посмотрю логи.

диман 21-10-2011 22:48 1779005
Вложений: 2
Вот еще пара скринов:
1 - появляется при обновлении окна форума
2 - появляется при открытии других окон

S.R 21-10-2011 23:07 1779027
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\28A.tmp','');
 QuarantineFile('C:\WINDOWS\system32\28B.tmp','');
 QuarantineFile('C:\WINDOWS\system32\cpldapu\produkey.exe','');
 QuarantineFile('C:\WINDOWS\system32\cgqpwvf.dll','');
 QuarantineFile('C:\WINDOWS\system32\calc.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe','');
 DeleteFile('C:\WINDOWS\system32\28A.tmp');
 DeleteFile('C:\WINDOWS\system32\28B.tmp');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe');
 DeleteFile('C:\WINDOWS\system32\cgqpwvf.dll');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Карантин сохранится в папке с AVZ. Отошлите его через веб-форму.

После этого сделайте новые логи.

Вам знакомы эти DNS:
Код:
111.112.113.114
211.212.213.214
195.34.32.116
212.188.4.10

диман 21-10-2011 23:22 1779041
DNS не знакомы. карантин отправил.
За что в немилость попали калькулятор и produkey.exe :)
На файлы cgqpwvf.dll, 28A.tmp, 28B.tmp грешил с самого начала. В системе еще остались файлы которые причастны к проблеме согласно этому описанию:
Цитата:
Как уточняют в компании, один из подтвержденных методов распространения этой вредоносной программы – рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании программы есть ссылка, по которой и загружается троянец. Запустившись на инфицированном компьютере, он создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд.

Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.
Как с ними быть?

S.R 21-10-2011 23:37 1779054
Сделайте новые логи.

диман 22-10-2011 00:00 1779066
Вложений: 2
сделал

alex_sev 22-10-2011 00:12 1779072
Держите Ваши produkey c калькулятором и больше не теряйте :up

http://webfile.ru/5618977

диман 22-10-2011 00:22 1779076
alex_sev, да собственно я бы спокойно пережил эту потерю. Но все равно спасибо.

S.R 22-10-2011 18:55 1779420
диман, вредоносные файлы запакуйте в архив с паролем "virus' без кавычек и отправьте по форме
  • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
  • Выберите Полное сканирование, нажмите Сканирование. Отметьте только локальные диски и флешки
  • После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

диман 22-10-2011 19:18 1779438
Вложений: 1
вот отчет

S.R 22-10-2011 19:50 1779460
Удалите в MBAM:
Код:
c:\documents and settings\администратор\local settings\Temp\317tk.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\9cpay.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\flash_player_update.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\lzbsu.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken.

диман 22-10-2011 19:54 1779463
Всем спасибо. Особенно S.R. Думаю, тему можно закрыть.

S.R 22-10-2011 20:00 1779468

Обновите Adobe Flash Player
Обновите Java SE

Прошу извинить за удаление produkey.exe и calc.exe.

диман 22-10-2011 20:53 1779504
Цитата:
Очистите и создайте новую контрольную точку восстановления
- не пользуюсь восстановлением системы.
А Adobe Flash Player и Java SE обновлю. Может еще какие рекомендации?

S.R 22-10-2011 21:21 1779522
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox или Opera c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы
- заменить уязвимые программы их аналогами (Adobe Reader - STDUViewer; Microsoft Office - LibreOffice)


Время: 04:45.

Время: 04:45.
© OSzone.net 2001-