Показано с 1 по 16 из 16.

Возможный троян (заявка № 13201)

  1. #1
    Junior Member Репутация
    Регистрация
    14.10.2007
    Сообщений
    6
    Вес репутации
    34

    Exclamation Возможный троян

    Во время сёрфинга по интернету, были скачены и запущены файлы "media_codec_install_wizard_3912935.exe" и "VideoAccessCodecInstall.exe". AVZ и Kaspersky Antivirus 7.0 не считают файлы вирусами. Полное сканирование диска C антивирусами Kasperksy Antivirus, Dr.Web CureIt!, AVZ не показала наличие чего-либо подозрительного. При загрузке системы Jetico Personal Firewall выдаёт окно о попытке процесса svchost.exe создать исходящее соединение на 81.29.248.50:80 (http://thenetworkcom.com/) и 81.29.248.58:80. При дальнейшей работе системы запросы на исходящие соединения на эти адреса не поступают, только при перезагрузке Windows XP. По этому адресу _http://endellion.me.uk/virus/VideoAccessCodec.html человек высказывает своё мнение об этом вирусе, но к сожалению на английском языке. Логи прилагаю к сообщению.
    Вложения Вложения
    Последний раз редактировалось Alex_Goodwin; 21.10.2007 в 14:18.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт...
    Код:
    begin
     QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');       
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  4. #3
    Junior Member Репутация
    Регистрация
    14.10.2007
    Сообщений
    6
    Вес репутации
    34
    Выполнил. Сразу скажу, что tcpip.sys пропатчен на 100 half-open соединений (вместо 10 стандартных). И если не трудно, объясните зачем нужна строчка "RebootWindows(true);" в случае перемещения файлов на карантин, т.е. зачем перезагрузка системы?
    Последний раз редактировалось Alex_Goodwin; 21.10.2007 в 14:19.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    tcpip.sys- по вирустотал чистый ... подождем что скажет вирлаб ...
    попробуйте поискать на диске ... AVZ - сервис- поск файлов на диске ...
    wmpenv.dll, duocore.dll ,wmpconf.dll если найдутся пришлите по правилам

  6. #5
    Junior Member Репутация
    Регистрация
    14.10.2007
    Сообщений
    6
    Вес репутации
    34
    Поиск по всем локальным дискам и флэшке не дал результата - файлы не найдены.
    Последний раз редактировалось Alex_Goodwin; 21.10.2007 в 14:19.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ничего подозрительного в логах не видно.
    Попробуйте временно убрать из автозапуска эти две программы:
    Код:
    O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\uTorrent\utorrent.exe"
    O4 - HKCU\..\Run: [USDownloader] "E:\E\R\USDownloader-Lite\USDownloader.exe"
    и пронаблюдайте, изменится ли ситуация.
    I am not young enough to know everything...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    media_codec_install_wizard_3912935.exe" и "VideoAccessCodecInstall.exe"сколько весят? можно их тоже прислать как полагается

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Neo Посмотреть сообщение
    Выполнил. Сразу скажу, что tcpip.sys пропатчен на 100 half-open соединений (вместо 10 стандартных). И если не трудно, объясните зачем нужна строчка "RebootWindows(true);" в случае перемещения файлов на карантин, т.е. зачем перезагрузка системы?
    Нужна потому что в начале стоит команда: searchrootkit().
    Она нарушает работу антивирусных и не только программ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    14.10.2007
    Сообщений
    6
    Вес репутации
    34
    uTorrent и USDownloader с автозагрузки убирал, всё равно есть попытка доступа в сеть. Требуемые файлы прислал как полагается.
    Файлы пришли?
    Пишу сообщение, чтобы напомнить, может найдено решение.
    Наверное, троян помрёт только с Windows .
    Последний раз редактировалось Alex_Goodwin; 21.10.2007 в 14:20.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Куда прислали? По правилам надо сюда: http://virusinfo.info/upload_virus.php?tid=13201
    Я что-то не вижу ваших файлов.
    Цитата Сообщение от drongo Посмотреть сообщение
    media_codec_install_wizard_3912935.exe" и "VideoAccessCodecInstall.exe"сколько весят? можно их тоже прислать как полагается

  12. #11
    Junior Member Репутация
    Регистрация
    14.10.2007
    Сообщений
    6
    Вес репутации
    34
    Файл virus.zip прислал.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    media_codec_install_wizard_3912935.exe - Trojan.DownLoader.35770 или Trojan-Downloader.Win32.Delf.cmz
    VideoAccessCodecInstall.exe - Trojan.DownLoader.35813 или Trojan-Downloader.Win32.Zlob.gen

    Вывод: если файл не детектируется антивирусом это не значит, что он безопасен.

  14. #13
    Junior Member Репутация
    Регистрация
    14.10.2007
    Сообщений
    6
    Вес репутации
    34
    Это Я понял . Вопрос другой, какая пакость у Меня пытается лезть в инет. В общем вопрос тот же, что и в первом сообщении.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Trojan.DownLoader -работа у него такая в интернет лезть ...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Знаете что за программа E:\E\R\TrayIt\TrayIt!.exe?
    Remote Administrator сами установили?
    А вобщето, нужны новые логи.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. media_codec_install_wizard_3912935.exe - Trojan-Downloader.Win32.Delf.cmz (DrWEB: Trojan.DownLoader.35770)
      2. videoaccesscodecinstall.exe - Trojan-Downloader.Win32.Zlob.gen (DrWEB: Trojan.DownLoader.35813)


  • Уважаемый(ая) Neo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Trojan.Win32.Ddox.ci и троян "троян маячок"
      От eugenmax в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.08.2011, 14:06
    2. Возможный вирус взлома WM keeper
      От shtyrman22 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.02.2010, 19:51
    3. возможный вирус
      От nik0223 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.05.2009, 11:40
    4. Возможный вирус
      От gjf в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.03.2009, 13:34
    5. Возможный троян-шпион на машине
      От Hatchling в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01466 seconds with 26 queries