63 ответов в этой теме

[mrbelyash]

http://wiki.drweb.com/index.php/Лечение_удаленной_машины

[alexach]

переставить не получается тоже (((

Прикрепленные файлы:

•  скрин.jpg   54,54К   4 Скачано раз

[alexach]

Беляш, спасибо!
Подключилась через TeamViewer

[alexach]

Ответ из сервиса "Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Trojan.Mayachok.1"

[userr]

alexach,
проблема решена?

[alexach]

Пока не могу сказать, на компе теперь постоянно появляются вирусы Exploit.PDF.2545 или мул дропы после перезагрузки.
И выпадает синий экран. (((

[userr]

alexach,
делайте новый комплект логов по Правилам.
лог свежего cureit лучше в безопасном режиме windows

[alexach]

НЕ знаю связанно ли это как-то с маячком, но до этого времени - не было таких проблем вообще.. да и к этому же букету был вирус Trojan.Carberp.10 уже после удаления маячка, появлялся каждый раз после перезагрузок вместе с мул дропами.

[alexach]

Хорошо выложу вечером отчёты того что получится сделать, Hijack отказывается работать на системе.

[tranzer]

Аналогичная проблема, но в Windows XP
http://forum.drweb.com/index.php?showtopic=305463&view=getnewpost
И я забыл название файла в ветке реестра. Как вспомнить или что делать? Есть ли утилита для скана?

[alexach]

Новый комплект логов от 3х программ:

Прикрепленные файлы:

•  Test.rar   142,52К   6 Скачано раз

[lexusnvs]

12.01.2012 обнаружен Маячок 1 на компе с WIN XP SP3. Cure IT от 11.01.12 детектировал трояна только в оперативной памяти, страницы в браузере выборочно не загружались. После перезапуска компьютера, соответственно, память снова была заражена. Просмотр созданных файлов за день на машине позволил определить на глаз возможные проблемные фалы, а Хайджек помог просмотреть ветки реестра и удалить запись вируса в параметре AppInit_DLLs. После перезагрузки деятельность вируса прекратилась. Файл вируса wvbrmwf.dll утилитой Cure It НЕ ДЕТЕКТИРУЕТСЯ. NOD32 v 4.2.71 тоже не справился сам.

Прикрепленные файлы:

•  cureit.jpg   141,65К   3 Скачано раз
•  nod32.jpg   195,93К   5 Скачано раз

[pig]

Файл в вирлаб отослали?

[lexusnvs]

простите, еще нет, но могу, могу сюда положить . дайте ссылку или мыло пожалуйста. не приветствую отсылку программами, препочел бы сам.

[lexusnvs]

тему эту сгодня почитал, когда уже "кулаками не машут", а вчера пытался в eset послать, так вот кнопка не активна, я и не стал заморачиваться более.

[lexusnvs]

https://www.virustot...sis/1326431742/

каюсь, умолчал немного. потому что объянить не могу. вчера нод спокойно реагировал на манипуляции с этим фалом, сегодня же, он его детектирует во время копирования из system32 в корень диска. при этом базы нода вчерашние(!) от 12.01.2012.

Прикрепленные файлы:

•  nod32.jpg   274,42К   3 Скачано раз

Сообщение было изменено lexusnvs: 13 Январь 2012 - 08:25

[userr]

простите, еще нет, но могу, могу сюда положить . дайте ссылку или мыло пожалуйста.

сюда нельзя. вирлаб там https://vms.drweb.com/sendvirus/

[mrbelyash]

>каюсь, умолчал немного. потому что объянить не могу. вчера нод спокойно реагировал на манипуляции с этим фалом, сегодня же, он его детектирует во время копирования из system32 в корень диска. при этом базы нода вчерашние(!) от 12.01.2012.
Очень интересно..неужели не скомпрометировавший себя ключ на темиде..Должен был подхватится.

[spawn86]

По поводу этого трояна маячка.У меня стоит Windows 7, заразился этим трояном 25 января 2012,перепробовал всё что можно ничего не помогало ,а 26 января тогоже года пришёл с работы и попробовал сделать востановление системы.У меня было единственное число для востановления 24 января.Сделал востановление за 24 думал не поможет но это помогло вируса не стало!!!!!

[kalantaj]

Удаление Trojan.Mayachok.1 в ручную:

1. Жмем сочетание «Win+R» (удерживая кнопку с изображением флажка, нажимаем R), набираем «Regedit» и заходим в редактор реестра;
2. Проходим по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
3. Находим параметр AppInit_DLLs и смотрим его значение. Если у вас сидит Маячок, то будет что-то типа этого — «C:\windows\system32\paxzwyk.dll»
Вместо paxzwyk.dll может быть любой dll с именем из набора латинских букв;
4. Удаляем это значение. Тут очень важно: а) Удаляем значение параметра AppInit_DLLs, а не сам параметр (правой кнопкой мыши щёлкнуть по названию параметра и выбрать Изменить, затем стереть внизу значение самого параметра); б) запишите имя файла, что бы его можно было легко найти на компьютере; в) поищите информацию об этой библиотеке dll (например в Google), ибо тут могут сидеть библиотеки честных программ (например Касперский иногда там тоже прописывает свою библиотеку). Удаляем;
5. Перезагружаем систему, ибо сейчас файл не удастся удалить;
6. Находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре AppInit_DLLs;
7. Снова перезагружаем систему, заходим в браузер, радуемся доступу в интернет.
Для тех у кого стоит 64-х разрядная система есть некоторые отличия:
1. Вирус может находиться в папке C:\windows\SYSWOW64
2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так: Win+r -> %SystemRoot%\SysWOW64\regedit.exe
В остальном все тоже самое. Ну, вроде, это всё.

Мне помогло, надеюсь и вам поможет.

Сообщение было изменено kalantaj: 18 Февраль 2012 - 04:27