Показано с 1 по 6 из 6.

Vundo Trojan (заявка № 13019)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.10.2007
    Сообщений
    58
    Вес репутации
    75

    Thumbs up Vundo Trojan

    Vundo Trojan. NAV начал ловить Downloader в C:\Doc & Set\...\Loc Set\Temp Inter Files\Content.IE5\..дальше варианты разные (или сразу файл или в папке). Content.IE5 в Temp. Internet Files не обнаруживается. NAV Downloader успешно удаляет, но через некоторое время опять отлавливает. Также NAV ловит других злодеев, но удаляет лишь частично.
    После проверки XoftSpySE обнаруживает в реестре 5 записей от Vundo Trojan. Удаляем. После перезагрузки они опять появляются.
    Symantec TrojanVundo Removal Tool его в упор не видит
    Удалял всю автозагрузку, отключал сеть - не помагает.
    HELP!!!(помогите).
    С уважением Andran ([email protected]).
    Последний раз редактировалось Andran; 20.03.2008 в 23:56.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт...
    Код:
    begin
    SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\ddabc.dll','');
     QuarantineFile('C:\WINDOWS\system32\vtutu.dll','');
     QuarantineFile('C:\WINDOWS\system32\mljgd.dll','');
     QuarantineFile('C:\WINDOWS\system32\pmkhf.dll','');
     QuarantineFile('C:\WINDOWS\system32\jkkjk.dll','');
     QuarantineFile('C:\WINDOWS\system32\mllmn.dll','');
     QuarantineFile('winwil32.dll','');
     QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('\SystemRoot\System32\Drivers\sw848b.SYS','');
     QuarantineFile('C:\WINDOWS\system32\winwil32.dll','');
     DeleteFile('C:\WINDOWS\system32\winwil32.dll');
     DeleteFile('winwil32.dll');
     DeleteFile('C:\WINDOWS\system32\mllmn.dll');
     DeleteFile('C:\WINDOWS\system32\jkkjk.dll');
     DeleteFile('C:\WINDOWS\system32\pmkhf.dll');
     DeleteFile('C:\WINDOWS\system32\mljgd.dll');
     DeleteFile('C:\WINDOWS\system32\vtutu.dll');
     DeleteFile('C:\WINDOWS\system32\ddabc.dll');
    BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    пофиксите...
    Код:
    O2 - BHO: (no name) - {06E04E5A-E768-44D1-ACC2-79D7D24581AF} - (no file)
    O2 - BHO: (no name) - {0D1559BC-3FAD-4C49-A3EE-560AF786940B} - C:\WINDOWS\system32\mllmn.dll
    O2 - BHO: (no name) - {1472CF55-9B6E-45E4-B2CA-F150E9D397C5} - C:\WINDOWS\system32\jkkjk.dll
    O2 - BHO: (no name) - {37DB338D-B113-44FB-A338-14AB24F057AA} - C:\WINDOWS\system32\pmkhf.dll
    O2 - BHO: (no name) - {723991F8-4DEB-462D-928D-CECB5032572A} - C:\WINDOWS\system32\mljgd.dll
    O2 - BHO: (no name) - {7C79B3D7-5157-4D4F-83C7-2C1578D9DABC} - C:\WINDOWS\system32\vtutu.dll
    O2 - BHO: (no name) - {7CF6F519-324F-4F39-8FC1-278306A0CBE7} - C:\WINDOWS\system32\ddabc.dll
    O2 - BHO: (no name) - {8EE8215E-5075-4487-B7EA-FAAFE2EDB796} - (no file)
    O2 - BHO: (no name) - {A59AA054-64A8-46AA-B184-ADE073127E33} - (no file)
    O2 - BHO: (no name) - {A72D85B3-29D5-40A7-B566-15E6E4BC3003} - (no file)
    O2 - BHO: (no name) - {B8FFEDEF-62E1-4FA2-986D-3E7883BA0B00} - (no file)
    O2 - BHO: (no name) - {C091FE81-260A-41A0-A4DC-6162363C2234} - (no file)
    O2 - BHO: (no name) - {D386E0A6-9C12-466D-B698-6E371E283356} - (no file)
    O20 - Winlogon Notify: winwil32 - C:\WINDOWS\SYSTEM32\winwil32.dll
    пришлите карантин согласно приложения 3 правил ..
    повторите логи...

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.10.2007
    Сообщений
    58
    Вес репутации
    75
    Сделал как приказали ( изв если что не так)
    Что-то Virus.zip загрузить не удаётся (наверно туп).
    Понял. Отправил.
    Прошло N минут. Заразы пока не видать (уух)!!!
    Последний раз редактировалось Andran; 20.03.2008 в 01:34.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    У Вас были
    C:\WINDOWS\system32\mllmn.dll и ко not-a-virus:AdWare.Win32.Virtumonde.wl
    C:\WINDOWS\system32\winwil32.dll - Trojan.Win32.Dialer.qn
    (по Касперскому)
    C:\WINDOWS\system32\ddabc.dll - Trojan.Click.4341(DrWeb)

    tcpip.sys - чистый
    sw848b.SYS - чистый

    В логах всё чисто.

    Что из этого вас нужно?остальное пофиксим

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.10.2007
    Сообщений
    58
    Вес репутации
    75
    спс пок OK
    Из служб не надо:
    RemoteRegistry (Удаленный реестр)
    SSDPSRV (Служба обнаружения SSDP)
    TlntSvr (Telnet)
    Alerter (Оповещатель)
    mnmsrvc (NetMeeting Remote Desktop Sharing)
    RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

    Что мне делать с
    tcpip.sys - чистый
    sw848b.SYS - чистый
    С уважением Andran

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Вот скрипт для отключения служб

    Код:
    begin
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    С чистыми файлами ничего делать не нужно пускай себе живут
    Если проблем больше нет,то лечение можно считать законченным.
    Советую работать за компьютером под пользователем с ограниченными правами.
    По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
    Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  • Уважаемый(ая) Andran, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan:Win32/Vundo.QA [Trojan.Win32.Cidox.ldk, Backdoor.Win32.Buterat.jrq ]
      От Артём Кучма в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.07.2012, 23:41
    2. trojan:Win32/Vundo.gen!AX
      От Mercury28 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.08.2011, 15:13
    3. Trojan:Win32/Vundo.KT
      От MrSmith01 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 01.07.2010, 21:39
    4. Trojan:Win32/Vundo
      От Reuser в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 06:13
    5. Vundo Trojan
      От Andran в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.03.2008, 22:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00935 seconds with 19 queries