Показано с 1 по 14 из 14.

Нейросеть: файл с вероятностью 99.55% похож... (заявка № 10275)

  1. #1
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    35

    Exclamation Нейросеть: файл с вероятностью 99.55% похож...

    Здравствуйте! суть моя такова:

    AVZ предупрелил:
    C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll --> Подозрение на Keylogger или троянскую DLL
    C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>>> Поведенческий анализ:
    1. Реагирует на события: клавиатура, мышь, оконные события
    C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>>> Нейросеть: файл с вероятностью 99.55% похож на типовой перехватчик событий клавиатуры/мыши
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    и
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    В базе 317 описаний портов
    На данном ПК открыто 30 TCP портов и 11 UDP портов
    >>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
    Как это удалить подскажите, уже многое перепробовал.

    Заранее Спасибо.
    Последний раз редактировалось Saimon; 09.06.2007 в 15:00.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    1. Пришлите файл C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll как написано в приложении 2 правил.

    2. Отключите следующие службы:
    Служба обнаружения SSDP
    Узел универсальных PnP-устройств

    3. Скачайте свежую версию AVZ 4.25, обновите ее базы и сделайте
    оба лога AVZ по правилам.
    Последний раз редактировалось Bratez; 09.06.2007 в 14:20. Причина: уточнение :)
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    35
    1. прислал.
    2. +
    3. +

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Saimon,новые логи от AVZ должны быть прикреплены к теме, а старые логи должны быть удалены. Ничего из этого вы пока не сделали.

  6. #5
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    35
    вот..
    А сам сам файл загрузил как в приложении 2.
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    SysWFGQQ2.dll - Trojan-PSW.Win32.QQPass.wh

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll');
     BC_DeleteFile('C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Во время выполнения логов карантин пополнился, пришлите его согласно приложению 3 правил.

    Базы AVZ обновите!!
    I am not young enough to know everything...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\svchost.exe','');
     QuarantineFile('c:\windows\system32\caprpcsk.exe','');
     QuarantineFile('C:\WINDOWS\expimg.exe','');
     QuarantineFile('C:\WINDOWS\System32\zdPrypt.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите весь карантин, кроме тех файлов которые уже загружали.

    http://virusinfo.info/upload_virus.php?tid=10275

    Похоже сам експлорер у вас затрояненый

  9. #8
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    35
    базы обновил +

    первый скрипт выполнился без ошибок, перезагрузился удачно.
    второй скрипт выполнился без ошибок, "доперезагрузиться" не смог, оставив висеть только обои с Латицией Каста и белый курсорчик мыши. помог RESET.

    карантин прикрепил через
    http://virusinfo.info/upload_virus.php?tid=10275

    Ой, сорри закачал предыдушие файлы опять(вместе с новыми).

    P.S. Ура! один вроди бы готов. файла SysWFGQQ2.dll в директории C:\Program Files\Common Files\Microsoft Shared\MSINFO нет.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    C:\WINDOWS\system32\tmp_4.dll - Trojan-Downloader.Win32.Small.cyn
    C:\WINDOWS\system32\msvcrl.dll,
    C:\Documents and Settings\NNN\Local Settings\Temp\pda4BB.tmp,
    C:\Program Files\Internet Explorer\iexplore.exe - Trojan-Spy.Win32.Goldun.ms
    остальное чистое.
    У вас есть под рукой дистрибутив вашей версии Windows?
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    35
    Дистр-ва нет. Машина рабочая, установлена ОС была задолго до моего принятия на работу.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Тогда так:
    1. Скачайте утилиту HaxFix.
    2. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\Documents and Settings\NNN\Local Settings\Temp\pda4BB.tmp');
    DeleteFile('C:\WINDOWS\system32\msvcrl.dll');
    DeleteFile('C:\WINDOWS\system32\tmp_4.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится и IE перестанет запускаться.

    3. Установите утилиту, запустите и выберите автоматический фикс.
    IE должен быть вылечен.

    Все-таки 100% гарантии по 3-му пункту нет, так что вероятно стоит запастись дистрибутивом какого-либо альтернативного браузера.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    09.06.2007
    Сообщений
    6
    Вес репутации
    35
    1. +
    2. +
    3. + (вылечился.. заражённый файл iexplore.old удалил).

    Спасибо огромное! Всё чисто.

    Единственное что вызывает опасение:

    На данном ПК открыто 18 TCP портов и 10 UDP портов
    >>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    >>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
    Об этом я уже писал:

    Отключите следующие службы:
    Служба обнаружения SSDP
    Узел универсальных PnP-устройств
    I am not young enough to know everything...

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,541
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\nnn\\local settings\\temp\\pda4bb.tmp - Trojan-Spy.Win32.Goldun.ms (DrWEB: Trojan.PWS.GoldSpy)
      2. c:\\program files\\common files\\microsoft shared\\msinfo\\syswfgqq2.dll - Trojan-PSW.Win32.QQPass.wh (DrWEB: Trojan.PWS.Qqpass.831)
      3. c:\\program files\\internet explorer\\iexplore.exe - Trojan-Spy.Win32.Goldun.ms (DrWEB: Trojan.PWS.GoldSpy)
      4. c:\\windows\\expimg.exe - HEUR:Trojan.Win32.Generic
      5. c:\\windows\\system32\\msvcrl.dll - Trojan-Spy.Win32.Goldun.ms (DrWEB: Trojan.PWS.GoldSpy)
      6. c:\\windows\\system32\\tmp_4.dll - Trojan-Downloader.Win32.Small.vwd (DrWEB: Trojan.DownLoader.14310)


  • Уважаемый(ая) Saimon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Очень похож на Trojan.MBRlock.6
      От zloi в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.05.2012, 00:14
    2. Крестовый поход против «Зевса»
      От CyberWriter в разделе Другие новости
      Ответов: 0
      Последнее сообщение: 29.03.2012, 15:20
    3. Ответов: 5
      Последнее сообщение: 01.04.2010, 16:59
    4. Ответов: 13
      Последнее сообщение: 27.10.2008, 21:32
    5. нейросеть 50%
      От Renni в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.06.2008, 03:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00800 seconds with 22 queries