Показано с 1 по 17 из 17.

Зловреды семейства Trojan-PSW.Win32.OnLineGames (заявка № 17602)

  1. #1
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    8
    Вес репутации
    33

    Thumbs up Зловреды семейства Trojan-PSW.Win32.OnLineGames

    Приветсвую. Сразу оговорюсь, что в этом деле я профан.
    На личном компе завелся троян: захожу администратором, открывает локольные диски в новом окне и аваст периодически выдает вируст что-то из серии amvo*, под обычнвм пользователем - выдает ошибку 118qsm.bat при обращнии к локольным дискам, хотя доступ есть.
    Рекомендованный аваст с ним не справляется (понял уже, что вирус так себе и буду менять).
    Помоготи, пожалуйста вылечить комп.
    Заранее благодарен.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
     QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
     DeleteFile('C:\WINDOWS\system32\amvo0.dll');
     DeleteFile('C:\WINDOWS\system32\wincab.sys');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('G:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    8
    Вес репутации
    33
    кажется, все нормально!
    я правильно выслал карантин?
    эти файлу нужны были или те что в скрипте упоминаются?
    Вложения Вложения

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    В логах всё чисто, что-то из этого необходимо?

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    В карантине G:\autorun.inf, C:\autorun.inf и C:\WINDOWS\system32\amvo.exe - все Trojan-PSW.Win32.OnLineGames.qpu если играете в он-лайн игрі - меняйте пароли.

    Давайте віполним для профилактики в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('G:\188qsm.bat');
    DeleteFile('C:\188qsm.bat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось wise-wistful; 06.02.2008 в 10:52.

  6. #5
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    8
    Вес репутации
    33
    Комп домашний, врятли я что-то их этого использую. По крайней мере мне эти службы и разделы безопасности не знакомы.
    В он-лайн игры тоже не играю (слава богу).
    Файл 188qsm.bat я тоже заметил, когда выполнял стандартные скрипты.
    Скрипт выполню позже, так как щас на работе. И вышлю логи на всякий случай. Карантин нужен? Спасибо

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    карантин не нужен ...
    скрипт ... для закрытия потенциальных уязвимостей ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  8. #7
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    8
    Вес репутации
    33
    Доброй ночи. Выполнил указанные скрипты.
    Но после разбора востановленных после форматирования файлов, которые находятся щас на диске G, антивирус выдал несколько сообщений о найденных вирусах.
    Файлы autoran.inf (VBS: Malware-gen), vdixodyw.sys (Win32:Trojan-gen), usdeiect.com (Trojan-PSW:Win 32: onlinegames.mph).
    Не знаю удалил антивирус их или нет. Выполнил все указанные в этой теме скрипты заново.
    Высылаю новые логи. Карантин нужен?
    А это важно, чтобы в AVZ в области поиска галочки стояли на всех жестких дисках? У меня стояла только на С, но я поздно заметил?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\usdeiect.com ');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    usdeiect.com -поищите на всех дисках и удалите ...

  10. #9
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    8
    Вес репутации
    33
    usdeiect.com везде удалил.
    выполнил стандвртные скрипты для ВСЕХ локальных дисков. кажется AVZ опять что-то нашел на диске G.
    высылаю логи. спасибо большое за хэлп.
    Вложения Вложения

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Все чисто. AVZ добил заразу на G:. На всякий случай просмотрите корневые папки всех дисков со включенным показом скрытых файлов на предмет наличия "чужих" с расширениями com, exe, bat, cmd (только смотрите не грохните системные на C: ).
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    8
    Вес репутации
    33
    Спасибо огромное всем, кто помог решить проблему !!!
    Скажите, а можно где-то почерпнуть инфу, как писать скрипты в AVZ?
    Я так посмотрел в вопросах, касающихся нахождению и удалению вирусов, скрипты односложные: найти=>поместить в карантин=>удалить. Или это мнение чайника ?

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Visa Посмотреть сообщение
    Скажите, а можно где-то почерпнуть инфу, как писать скрипты в AVZ?
    Я так посмотрел в вопросах, касающихся нахождению и удалению вирусов, скрипты односложные: найти=>поместить в карантин=>удалить. Или это мнение чайника ?
    В документации по AVZ команды скриптов описаны. В большинстве случаев действительно все достаточно просто.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    8
    Вес репутации
    33
    Господа, после закрытия мест потенциальной уязвимости,не могу включить "быстрое переключение между пользователями" (или как-то так называется). Мне нужна эта функция. Ставлю галку, нажимаю применить, а после закрытия галка снимается. Как вернуть эту опцию? Спасибо.

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Включите обратно службу терминалов.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    05.02.2008
    Сообщений
    8
    Вес репутации
    33
    А если для чайников: "Как"?

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пуск - Выполнить - services.msc
    Найдите ее в списке, откройте, переключите тип запуска на Авто. Перезагрузитесь.
    I am not young enough to know everything...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.qpu (DrWEB: Win32.HLLW.Autoruner.1285)
      2. c:\\windows\\system32\\amvo.exe - Trojan-GameThief.Win32.OnLineGames.qpu (DrWEB: Trojan.MulDrop.6474)
      3. g:\\autorun.inf - Trojan-GameThief.Win32.OnLineGames.qpu (DrWEB: Win32.HLLW.Autoruner.1285)


  • Уважаемый(ая) Visa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 10.12.2010, 16:49
    2. Зловреды Net-Worm.Win32.Kido.ih и Trojan.JS.Fraud.af
      От BooZ в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 18.11.2010, 15:13
    3. Ответов: 9
      Последнее сообщение: 09.10.2010, 13:31
    4. Trojan-PSW.Win32.OnLineGames.rry
      От wheeller в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.08.2009, 12:37
    5. Ответов: 7
      Последнее сообщение: 22.02.2009, 04:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00869 seconds with 23 queries