Показано с 1 по 12 из 12.

variant of Corkow.F Trojan [not-a-virus:RemoteAdmin.Win32.RA.52126 ] (заявка № 139250)

  1. #1
    Junior Member Репутация
    Регистрация
    08.10.2008
    Сообщений
    8
    Вес репутации
    30

    variant of Corkow.F Trojan [not-a-virus:RemoteAdmin.Win32.RA.52126 ]

    Windows XP Sp3
    Slave - это от twd
    svchost заражен variant of Corkow.F Trojan
    антивирус NOD32, при старте обнаруживает, но лечить не может.
    прогнал AVPTool не помогло, логи от AVZ, Hijack This прилагаю.
    Safe boot вызывает 0x000007b
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    327
    Уважаемый(ая) mmaaiill, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\slave.exe','');
     QuarantineFile('C:\Program Files\Common Files\Services\synmsext.xof','');
     QuarantineFile('C:\Documents and Settings\admin\Application Data\1B73C9\1B73C9.exe','');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     DeleteFile('C:\Documents and Settings\admin\Application Data\1B73C9\1B73C9.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','madFlac');
     DeleteFile('C:\Program Files\Common Files\Services\synmsext.xof');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Загрузите quarantine.zip из папки AVZ по красной ссылке в шапке этой темы "Прислать запрошенный карантин".

    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. Nikkollo получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    08.10.2008
    Сообщений
    8
    Вес репутации
    30
    скрипт выполнен успешно,
    перезагрузку пришлось таки нажать кнопку питания,
    вирус при загрузке не обнаружен,
    карантин прикрепил,
    логи прилагаю =)
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    Код:
    C:\WINDOWS\Slave.exe
    Проверьте этот файл на virustotal
    кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

    - Сделайте лог полного сканирования МВАМ.

    смените пароли в первую очередь банковские.

  8. regist получил(а) благодарность за это сообщение от


  9. #6
    Junior Member Репутация
    Регистрация
    08.10.2008
    Сообщений
    8
    Вес репутации
    30
    в этом файле уверен, сравнил размеры с другими копиями на других компьютерах, сам клал его именно в это место =)
    Подпись соответствует. Размер и время тоже. Это ремот админ от twd industries, пользуемся не первый год. Дата файла 02.07.08 18:34 совпадает.
    вирустотал
    MBAM сейчас прогоню, хотя не очень новая версия тут присутствовала.
    пароли это уже придется завтра менять, до утра остается уповать на то, что ключи (в реестре их не было) не увели с носителей.

    - - - Добавлено - - -

    MBAM лог прилагаю

    - - - Добавлено - - -

    Из лога MBAM

    Обнаруженные файлы: 4
    C:\Documents and Settings\admin\Application Data\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

    Пробовать лечить и еще раз проверку или сразу чего?
    Вложения Вложения

  10. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Удалите в MBAM:
    Код:
    Обнаруженные файлы:  4
    C:\Documents and Settings\admin\Application Data\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    Сделайте повторный лог MBAM.

    - - - Добавлено - - -

    + добавьте в исключения антивируса файл C:\WINDOWS\Slave.exe, похоже что название Вашей темы
    variant of Corkow.F Trojan [not-a-virus:RemoteAdmin.Win32.RA.52126 ]
    он самый и есть.

  11. mrak74 получил(а) благодарность за это сообщение от


  12. #8
    Junior Member Репутация
    Регистрация
    08.10.2008
    Сообщений
    8
    Вес репутации
    30
    + добавьте в исключения антивируса файл C:\WINDOWS\Slave.exe, похоже что название Вашей темы он самый и есть.
    еще раз подчеркну, что этот же Slave от twd есть на всех компах и именно в этой папке и такого размера - сравнивал, все совпадает.
    других сейчас поудаляю.

  13. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    Цитата Сообщение от mmaaiill Посмотреть сообщение
    еще раз подчеркну, что этот же Slave от twd есть на всех компах
    С этим мы уже разобрались.
    Цитата Сообщение от mrak74 Посмотреть сообщение
    + добавьте в исключения антивируса файл C:\WINDOWS\Slave.exe, похоже что название Вашей темы
    Добавить в исключения, это http://www.esetnod32.ru/support/know...phrase_id=7845 , т.к. ESET воспринимает отдельные программы удаленного доступа, как not-a-virus:RemoteAdmin, будут вопросы, задавайте.

  14. #10
    Junior Member Репутация
    Регистрация
    08.10.2008
    Сообщений
    8
    Вес репутации
    30
    почистил, прогнал MBAM, перезагрузил, прогнал еще раз - чисто, нод вроде тоже молчит.
    Спасибо, вроде все полечили.

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,568
    Вес репутации
    709
    про пароли думаю помните,

    + - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    Советы и рекомендации после лечения компьютера

  16. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\slave.exe - not-a-virus:RemoteAdmin.Win32.RA.52126 ( DrWEB: Program.RemoteAdmin, BitDefender: Virtool.1335 )


  • Уважаемый(ая) mmaaiill, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Variant Win32/Wigon32 trojan
      От Veneamin в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.04.2009, 00:35
    2. Trojan-downloader.win32.agent variant
      От Teemon в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 08:11
    3. Trojan - Downloader.Win32.Agent variant
      От true1ove в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 05:16
    4. trojan-downloader.win32.agent variant
      От Golimar в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.06.2008, 23:21
    5. Trojan-Downloader.Win32.Agent.Variant
      От Atlanter в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 31.05.2008, 23:09

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01084 seconds with 24 queries