Показано с 1 по 12 из 12.

Гадюшник - Trojan.Copier + Trojan.Copyself (заявка № 10080)

  1. #1
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    36

    Thumbs up Гадюшник - Trojan.Copier + Trojan.Copyself

    Ноутбук отдыхал в Индии. Предавался многочисленным и случайным сношениям с симпатичными аборигенными Интернет-кафе посредством LAN порта.
    По приезде домой хозяин заподозрил неладное.

    Dr.Web нашел:
    • Trojan.MulDrop.4181
    • Trojan.DownLoader.10355
    • Trojan.Copier
    • Trojan.Copyself
    При чём два последних имели пафосное примечание “неизлечим”.

    P.S.: Строчку F3 в HijackThis пофиксил сразу - достали сообщения при загрузке. Кстати, это предсмертная работа Trojan.MulDrop.4181.
    Вложения Вложения
    Последний раз редактировалось Dihlophos; 30.05.2007 в 12:35. Причина: Уточнение названия

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    C:\autorun.inf - это что за гадость? Похоже надо искать autorun.* на всех дисках + см. совет Bratez в Чаво (если не открываются диски)
    C:\WINDOWS\svchost.exe - этого в карантин, если найдется и прислать.

    Не вижу антивируса , или он отключен.

    Есть подозрение, что пароли с этого компа уже известны в другом месте.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     DeleteFile('C:\WINDOWS\svchost.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи. Установите антивирус и очень желательно файрвол.

  5. #4
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    36
    Я так полагаю, добрый хозяин не снабдил своего мобильного друга антивирусом, так как при обследовании мной файловой структуры диска, следы антивируса также не были замечены .

    Налицо изъян культуры - врядли неосведомленность...

  6. #5
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    36
    1. При выполнении скрипта уважаемого MaXim'a AVZ несколько раз выкинул в протокол красную строчку типа "ошибка прямого чтения". Точнее не скажу - видел полсекунды - дальше машина ушла в перезагрузку. После перезагрузки выяснилось, что карантин пустой.
    2. Вручную (визуальный осмотр директории), а так же пользуясь поиском AVZ выявить левый svchost.exe не удалось.
    3. Из найденого - autorun.inf запускал copy.exe из корня.
    4. При выдергивании флешки из зараженной машины и подключения её к чистой, защищенной Avast!'ом, выявился Win32.perlovga в корневом файле copy.exe. autorun.inf там тоже присутствовал с соответствующей записью.
    5. При повторном цикле перевтыканий флешки был выявлен Avast!'ом Win32.Trojan-gen в корне флешки - в файле host.exe.
    6. Что может быть важно - забыл загрузить IE перед запуском AVZ. Мой косяг
    7. Запустил создание логов заново - AVZ бодренько отыскал и перетащил себе старый карантин DrWeb'a, промаркировав найденых зверей по-своему.
    8. Загрузил карантин на virusinfo.info:


      • Файл сохранён как - 070603_182756_virus_4662cfec468f4.zip
      • Размер файла - 586
      • MD5 - 18b94fc13f7403dc4f4fc321e0079bd4


    9. В карантин файлы, описаные мной в пункте №7 не попали, так как они не в карантине, а в папке Infected. Её я не загружал.

  7. #6
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    36
    Hijackthis всё корректно отработал
    Вложения Вложения
    Последний раз редактировалось Dihlophos; 03.06.2007 в 22:40. Причина: Был не прав - проверил - всё корректно

  8. #7
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    36
    Чтоб не было путаницы сделал логи ещё раз.
    Вложения Вложения

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В логах полная чистота. Всем бы так
    I am not young enough to know everything...

  10. #9
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    36
    Э-э-э, да всё бы так...
    Но терзат меня смутные сумнения....

    Простите мою некомпетентность, но а это что за зверь (virusinfo_syscheck.zip):

    1.4 Поиск маскировки процессов и драйверов
    Видимый процесс с PID=1596, имя = "\Device\HarddiskVolume1\WINDOWS\system32\wbem\wmi adap.exe"
    >> обнаружена подмена имени, новое имя = "\\?\c:\windows\system32\wbem\wmiadap.exe"
    и с чем его едятЪ?

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Full Member Репутация Репутация Аватар для Dihlophos
    Регистрация
    16.05.2007
    Адрес
    MSK
    Сообщений
    26
    Вес репутации
    36
    Ага. Понял. Зверь типа W32.Joke

    Спасибо за ликбез.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,549
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Dihlophos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 14.11.2010, 18:32
    2. Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank
      От v119 в разделе Описания вредоносных программ
      Ответов: 1
      Последнее сообщение: 15.03.2010, 13:56
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25
    5. Trojan.Muldrop.4181 и Trojan.Copyself
      От dmitri33 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.12.2007, 10:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00940 seconds with 23 queries