Jump to content
СофтФорум - всё о компьютерах и не только

Avast ругается на троян


Recommended Posts

Доброго времени суток, уважаемые гуру! Что-то мой Аваст начал ругаться на вирус. Решил почистить систему как здесь написано, только после удаления вирусов интернет сильно тормозить начал, по ссылкам переходить отказывается. Вобщем не пойму что творится. У провайдера точно все нормально, потому что зашел сейчас с другой операционки - нормально бегает. Посмотрите пожалуйста логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Link to comment
Share on other sites

PartyPoker - играете?

Adobe Acrobat 7.0 - установите версию 9.0

bonjour - нужен?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('G:\WINDOWS\system32\cssdll32.dll','');QuarantineFile('G:\RECYCLER\S-1-5-21-3559015292-4685738038-378118978-4451\winlogon.exe','');QuarantineFile('G:\Program Files\MediaCoder\SysInfo.sys','');QuarantineFile('g:\windows\system32\drivers\sctri.exe','');DeleteFile('g:\windows\system32\drivers\sctri.exe');DeleteFile('G:\RECYCLER\S-1-5-21-3559015292-4685738038-378118978-4451\winlogon.exe');DeleteFile('G:\Program Files\AskBarDis\bar\bin\askBar.dll');DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');BC_ImportALL;ExecuteRepair(16);BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

	O20 - AppInit_DLLs: G:\WINDOWS\system32\cssdll32.dll 

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:FilesH:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6dc7a4e2-c170-11dd-a81b-000000000000}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Повторите логи.

Link to comment
Share on other sites

Сделал как вы написали. Посылаю лог.

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

File/Folder H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe not found.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6dc7a4e2-c170-11dd-a81b-000000000000}\\ deleted successfully.

========== COMMANDS ==========

File delete failed. G:\DOCUME~1\CH_AND~1\LOCALS~1\Temp\JETAE70.tmp scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

File delete failed. G:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.

File delete failed. G:\WINDOWS\temp\Perflib_Perfdata_534.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

FireFox cache emptied.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\adoc.bx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\md.dat scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\url.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\w.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\wb.vx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\adoc.bx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\md.dat scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\url.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\w.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\wb.vx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\adoc.bx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\md.dat scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\url.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\w.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\wb.vx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\adoc.bx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\md.dat scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\url.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\w.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\wb.vx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\adoc.bx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\md.dat scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\url.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\w.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\wb.vx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\adoc.bx scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\md.dat scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\url.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\w.ax scheduled to be deleted on reboot.

File delete failed. G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\wb.vx scheduled to be deleted on reboot.

Opera cache emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02042009_104807

Files moved on Reboot...

File G:\DOCUME~1\CH_AND~1\LOCALS~1\Temp\JETAE70.tmp not found!

G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.

G:\WINDOWS\temp\_avast4_\Webshlock.txt moved successfully.

File G:\WINDOWS\temp\Perflib_Perfdata_534.dat not found!

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\adoc.bx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\md.dat moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\url.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\w.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0005\wb.vx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\adoc.bx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\md.dat moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\url.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\w.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0004\wb.vx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\adoc.bx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\md.dat moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\url.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\w.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\wb.vx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\adoc.bx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\md.dat moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\url.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\w.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\wb.vx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\adoc.bx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\md.dat moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\url.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\w.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\wb.vx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\adoc.bx moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\md.dat moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\url.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\w.ax moved successfully.

G:\Documents and Settings\Ch_Andrey\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\wb.vx moved successfully.

Спасибо огромное, за то, что помогаете.

А теперь, просто из любопытства вопрос. Вы просите отсылать логи потому что базу данных собираете?

02042009_104807.log

02042009_104807.log

Link to comment
Share on other sites

Не нашел строчку:

G:\WINDOWS\system32\cssdll32.dll

Хотя

O20 - AppInit_DLLs: - нашел сразу.

Или они все же на одной строчке находились и я просто не заметил?

Вот что получилось.

И еще скажите пожалуйста как отключить удаленный рабочий стол. А то мне AVZ выдал, что оказывается у меня не заблокирована возможность управления моим компьютером с удаленного рабочего стола. Во всяком случае я так понял.

log.txt

virusinfo_syscheck.zip

log.txt

virusinfo_syscheck.zip

Link to comment
Share on other sites

И еще скажите пожалуйста как отключить удаленный рабочий стол.

begin

SetServiceStart('RDSessMgr', 4);

end.

Пофиксить в HijackThis следующие строчки

 F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\SCtri.exeO20 - AppInit_DLLs:   G:\WINDOWS\system32\cssdll32.dll

Лог RSIT старый?

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Как самочуствие?

Link to comment
Share on other sites

Вот лог от Malwarebytes:

Malwarebytes' Anti-Malware 1.33

Версия базы данных: 1725

Windows 5.1.2600 Service Pack 3

04.02.2009 17:50:18

mbam-log-2009-02-04 (17-50-18).txt

Тип проверки: Полная (C:\|D:\|G:\|Z:\|)

Проверено объектов: 505005

Прошло времени: 4 hour(s), 13 minute(s), 1 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 2

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 2

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully.

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

Заражено папок:

(Вредоносные программы не обнаружены)

Заражено файлов:

D:\Андрей\WPA_kill2\AntiWPA_Crypt.dll (Hacktool) -> Quarantined and deleted successfully.

G:\Documents and Settings\Ch_Andrey\Application Data\Luxology\keygen.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

И все же вот те строчки, которые Вы посоветовали пофиксить, я их не нашел.

sctri.exe_ - Backdoor.Win32.SdBot.kdo,

winlogon.exe_ - P2P-Worm.Win32.Palevo.o

akoK Это звери которые у меня завелись? Название впечатляет! :rolleyes: Только бы вывести удалось!

Link to comment
Share on other sites

А теперь, просто из любопытства вопрос. Вы просите отсылать логи потому что базу данных собираете?

Для полноты рекомендаций мне необходимо знать, что поймали :bye1: А смысл мне от этой базы?

akoK Это звери которые у меня завелись? Название впечатляет! Только бы вывести удалось!

Уже вывели :blushing:

Link to comment
Share on other sites

Спасибо огромное! :blushing: Ребят вы великое дело делаете! Я если честно, не знал, что все так серьезно. Ну, ругается Аваст, ну, и ладно. Комп-то работал. Нет, конечно, понимал, что просто так он вопить не будет, но надеялся, что он сам их удалит. Я ведь нажимал кнопку Delete :bye1: Теперь буду внимательнее.

А Saule сейчас здесь совсем не появляется?

Link to comment
Share on other sites

  • 2 weeks later...

Привет,у меня ХР SP3 поставил недавно...при сканировании Outpost PRO 2009 нашёл "вредоносный объект:Shadow Generic File (Suspiciosus) в с:windows\explorer.exe"...Подскажите ,что с ним делать?..пока поставил на пропуск... :bye1:

!

Предупреждение:

Дубль поста в теме по Outpost удален.

Edited by Ray
Link to comment
Share on other sites

ну да..сборка...так что делать,шпиёён?...Знакомый говорит удалять,шпиёён..хм..просто веру не охота терять в добро..оно и так на исдыхании... :doh:

Link to comment
Share on other sites

При сканировании Outpost PRO 2009 нашёл "вредоносный объект:Shadow Generic File (Suspiciosus) в с:windows\explorer.exe"...Подскажите ,что с ним делать?..

Проверьте файл на VirusTotal, скорее всего это ложное срабатывание Аутпоста.

Edited by Matias
Link to comment
Share on other sites

да вы правы,сфолил...правда я уже удалил...и винду переустановил,пришлось..одна картинка на рабочем столе и ни одного ярлыка,F8(хотел откать сделать) тоже не сработал :)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...