Показано с 1 по 11 из 11.

Trojan.Packed.142 (заявка № 12158)

  1. #1
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    442
    Вес репутации
    63

    Thumbs up Trojan.Packed.142

    Операционная система: Windows XP Home Edition с интегрированным Service Pack 2
    Версия Dr. Web: 4.33 с обновлением 01.09.2007 в 12:00
    На компьютере наблюдаются: зависание Internet Explorer, задержки при переключении между окнами, «тормоза» при запуске программ и открытии файлов, в «Диспетчере задач» 7 процессов svchost.exe, один из которых загружается до 40 % при выходе в Интернет.
    При сканировании в безопасном режиме и отключенном восстановлении системы был обнаружен Trojan.Packed.142 в виде файла c/windows/system32/gme.exe.exe
    После его удаления ничего не изменилась. Последующая проверка жесткого диска программой cureit-beta не показала наличие вирусов (я запускал сканер в безопасном режиме с отключенным восстановлением системы с локального диска). Я выполнил инструкции, содержащиеся на сайте http://helpme.virusinfo.info/
    Логи от AVZ и HijackThis находятся в архиве по адресу http://moroz17.narod.ru/log.rar
    Пароль: super
    Прошу помочь мне в обнаружении этого вируса.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    присоедините логи к теме как написано в правилах ....

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Собственно, какая проблема присоединить файлы как указано в правилах?

  5. #4
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    442
    Вес репутации
    63
    Извините, присоединяю.
    Последний раз редактировалось MihailKrasnodar; 15.08.2008 в 00:26.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\Program Files\Iconic Tray\it.exe','');
     QuarantineFile('C:\WINDOWS\system32\systl7.dll','');
     QuarantineFile('C:\WINDOWS\bittorrent.exe','');
     QuarantineFile('c:\program files\common files\microsoft shared\web folders\ibm00002.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил....

  7. #6
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    442
    Вес репутации
    63
    Файл сохранён как 070903_141026_virus_46dc5c22f18f3.zip
    Размер файла 69631
    MD5 08ab18d77fb03e69d6d252c2229bfff9

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\Program Files\Iconic Tray\it.exe -чистый
    c:\program files\common files\microsoft shared\web folders\ibm00002.dll Trojan.PWS.Sinowal.CA (BitDefender)
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\bittorrent.exe');         
     DeleteFile('c:\program files\common files\microsoft shared\web folders\ibm00002.dll');
     ExecuteSysClean;   
     BC_ImportAll;
     BC_Activate;
     RebootWindows(true);
    end.
    попробуйте поискать при помощи AVZ -ceрвис-поиск файлов на диске C:\WINDOWS\system32\systl7.dll если найдется пришлите согласно правил...
    повторите логи....

  9. #8
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    442
    Вес репутации
    63
    Скрипт выполнил.
    Файл C:\WINDOWS\system32\systl7.dll не найден.
    Прикрепляю обновлённые логи.
    Последний раз редактировалось MihailKrasnodar; 15.08.2008 в 00:26.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Больше ничего вредоносного не видно.

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O20 - AppInit_DLLs: C:\WINDOWS\system32\systl7.dll
    И вот это желательно поправить:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    03.09.2007
    Сообщений
    442
    Вес репутации
    63
    Цитата Сообщение от Bratez Посмотреть сообщение
    И вот это желательно поправить:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Извиняюсь за неграмотность. Подскажите, каким образом это подправляется?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от MihailKrasnodar Посмотреть сообщение
    Извиняюсь за неграмотность. Подскажите, каким образом это подправляется?
    элементарно, из лога вот готовый скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('Schedule', 4);
    SetServiceStart('TermService', 4);
    RebootWindows(true);
    end.

    Чтобы уменьшить шанс заражения, советуем на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
    Мы будем Вам очень благодарны!

    Удачи!

  • Уважаемый(ая) MihailKrasnodar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 28.07.2012, 20:08
    2. Ответов: 14
      Последнее сообщение: 22.10.2010, 21:47
    3. Ответов: 2
      Последнее сообщение: 02.10.2010, 19:37
    4. BackDoor.Tdss, Trojan.Starter, Trojan.Packed, и Trojan.FakeAlert
      От Stewart little в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.04.2009, 13:05
    5. Trojan.Packed.140 и Trojan.Nsanti.Packed
      От Chek в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 22.02.2009, 03:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01602 seconds with 19 queries