Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Trojan.Proxy.1739 + горец sulimo.dat (заявка № 14101)

  1. #1
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    34

    Question Trojan.Proxy.1739 + горец sulimo.dat

    к заголовку добавлю что:
    а) заблокирован доступ к менджеру железа и администрированию компьютера - но появилось это не сразу
    б) запись на sulimo.dat в реестре исчезла, но сам файл есть и востанавливается
    в) ДрВэб 4.44 частично поубивал цветник.

    с этой машины не могу вставить логи-вложения, прицеплю с другой машины следующим постом
    Последний раз редактировалось trg; 12.11.2007 в 18:55. Причина: добавление логов

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    34

    логи

    г) отпали ЮСБ порты - ни принтера, ни флешки не видит
    Вложения Вложения

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ..
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\Mphmoh32.dll','');
     QuarantineFile('msime82.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\lich.exe','');
     DeleteFile('C:\WINDOWS\system32\lich.exe');
     DeleteFile('C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('msime82.exe');
    BC_QrSvc('FCI');
    BC_QrSvc('cmdService');
    BC_QrSvc('Network Monitor');
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('Network Monitor');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от trg Посмотреть сообщение
    г) отпали ЮСБ порты - ни принтера, ни флешки не видит
    Это лечится переустановкой ЮСБ контроллера. Удалить устройство из "Диспетчера устройств".
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    34
    Цитата Сообщение от V_Bond Посмотреть сообщение
    пофиксите ..
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    выполните скрипт...
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\Mphmoh32.dll','');
     QuarantineFile('msime82.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\lich.exe','');
     DeleteFile('C:\WINDOWS\system32\lich.exe');
     DeleteFile('C:\DOCUME~1\GRIGOR~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('msime82.exe');
    BC_QrSvc('FCI');
    BC_QrSvc('cmdService');
    BC_QrSvc('Network Monitor');
    BC_DeleteSvc('FCI');
    BC_DeleteSvc('Network Monitor');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...

    карантин высылаю, но... в карантине из списка запрошенных файлов было каждого по два штуки, а лич.ехе - три. пути одинаковы.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    lich.exe - Trojan-PSW.Win32.LdPinch.eaw
    больше ничего в карантине нет. Где же остальные?
    I am not young enough to know everything...

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    PS: После окончания лечения придется сменить все пароли

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    повторите логи....
    попробуйте поискать Mphmoh32.dll -если найдется пришлите поправилам...

  10. #9
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    34
    Цитата Сообщение от Bratez Посмотреть сообщение
    lich.exe - Trojan-PSW.Win32.LdPinch.eaw
    больше ничего в карантине нет. Где же остальные?

    как говорил - было по две копии каждого из списка в скрипте. всех отмечал первую, а лича - третью копию. щас присоеденил опять - отметил вторые копии

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Аналогично... когда добавляете файлы в карантин антивирус отключаете?

  12. #11
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    34
    Цитата Сообщение от rubin Посмотреть сообщение
    Аналогично... когда добавляете файлы в карантин антивирус отключаете?
    нет. надо?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    обязательно ...

  14. #13
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    34
    Цитата Сообщение от V_Bond Посмотреть сообщение
    обязательно ...

    совсем глупый вопрос, точнее два:

    1. я не знаю как отключить ДрВеб окромя как грохнуть процесс, в Каспера есть кнопка отключения, а в Вэбе не видел нигде таковой

    2. в карантине там много всего было - может всё и прислать или только то что запрошено?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    1. "Грохать" процессы DrWeb бесполезно. Spider работает в режиме драйвера.
    Нужно поставить его на паузу щелкнув на нем правой кнопкой мыши.
    2. Если много всего, то не надо. Нужны только те файлы, которые упомянуты в строках скрипта со словом QuarantineFile.
    + C:\WINDOWS\system32\svchost.exe:ext.exe
    C:\WINDOWS\c2Fz\command.exe
    C:\Program Files\Network Monitor\netmon.exe

  16. #15
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    34
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    1. "Грохать" процессы DrWeb бесполезно. Spider работает в режиме драйвера.
    Нужно поставить его на паузу щелкнув на нем правой кнопкой мыши.
    2. Если много всего, то не надо. Нужны только те файлы, которые упомянуты в строках скрипта со словом QuarantineFile.
    + C:\WINDOWS\system32\svchost.exe:ext.exe
    C:\WINDOWS\c2Fz\command.exe
    C:\Program Files\Network Monitor\netmon.exe

    попробовал с отключённым спайдермонитором - результат тот же - в карантине файлы нулевого размерами. поискал руками по путям - не нашёл указанных файлов.
    файлика sulimo.dat тоже кстати не нашёл....

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    сделайте новые логи ...

  18. #17
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    34
    Цитата Сообщение от V_Bond Посмотреть сообщение
    сделайте новые логи ...
    высылаю новые логи.

    хочу ещё указать, сейчас sulimo.dat в system32 нету, но авоматическое восстановление отключено, и я смутно догадываюсь - если включить - горец снова появится.
    Вложения Вложения

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Нет, при отключении восстановления все файлы контрольных точек стираются, и уже восстанавливаться зловреду неоткуда

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт...
    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\Mphmoh32.dll','');
    QuarantineFile('C:\WINDOWS\c2Fz\command.exe','');
    BC_QrSvc('cmdService');
    BC_DeleteSvc('lich');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пишлите карантин согласно приложения 3 правил ...

  21. #20
    Junior Member Репутация
    Регистрация
    06.11.2007
    Сообщений
    39
    Вес репутации
    34
    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт...
    Код:
    begin
    ClearQuarantine;
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\Mphmoh32.dll','');
    QuarantineFile('C:\WINDOWS\c2Fz\command.exe','');
    BC_QrSvc('cmdService');
    BC_DeleteSvc('lich');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пишлите карантин согласно приложения 3 правил ...

    карантин пуст.... руками указанные файлы не нашол. в папке C:\WINDOWS\c2Fz\ есть только файл wziv.vbs на 472 байта, внутри какойто скриптик с текстом. ДрВеб тоже ни на что не возбуждается.

    возможно они вылазят в роцессе работы... я попробую ещё раз сделать карантин - попозже.
    Последний раз редактировалось trg; 16.11.2007 в 16:53.

  • Уважаемый(ая) trg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25
    2. Trojan Fakealert 350 и trojan.proxy.1739
      От AlexanderL в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:16
    3. Trojan.Proxy.1739
      От DAV в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.02.2008, 15:36
    4. trojan.proxy.1739
      От Cawka в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.11.2007, 03:51
    5. Trojan.Java.ClassLoader.ao - горец а не троян
      От immortal29 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.03.2007, 02:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01595 seconds with 24 queries