Показано с 1 по 9 из 9.

Подозрение на Trojan.Win32.Pakes.cch (заявка № 18074)

  1. #1
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    23
    Вес репутации
    35

    Question Подозрение на Trojan.Win32.Pakes.cch

    заранее спасибо за помощь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\WINDOWS\system32\i386kd.exe','');
     QuarantineFile('D:\WINDOWS\system32\p2001.exe','');
     QuarantineFile('D:\WINDOWS\system32\basesrv32.dll','');
     QuarantineFile('d:\docume~1\sto\locals~1\temp\winlogon.exe','');
     DeleteFile('d:\docume~1\sto\locals~1\temp\winlogon.exe');
     DeleteFile('D:\WINDOWS\system32\i386kd.exe');  
     BC_ImportALL;
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('Nwd40');     
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Потом ещё один
    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
      SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\i386kd.exe,
    Загрузите карантин согласно приложению №3 правил. Повторите логи. Прикрепите также SubSystems.log из папки AVZ.

  4. #3
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    23
    Вес репутации
    35
    карантин отослал,
    скрипты выполнил,
    фиксить не пофиксил, т.к. этой строки не было.

    троян вроде отсылать мейлы перестал...
    Спасибо.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    23
    Вес репутации
    35
    забыл еще лог
    Вложения Вложения

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    В логах всё нормально, осталось дождаться результатов анализа одного подозрительного файла.

  7. #6
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    23
    Вес репутации
    35
    атаки продолжаются.
    идет исх и вх трафик, отсылаются мейлы...

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Maxim Посмотреть сообщение
    В логах всё нормально, осталось дождаться результатов анализа одного подозрительного файла.
    Очевидно, имеется ввиду D:\WINDOWS\system32\p2001.exe - он чист. Кстати, просто интересно, не знаете что это?
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    08.07.2007
    Сообщений
    23
    Вес репутации
    35
    Судя по копирайтам в теле программы - Это переводчик, который я действительно устанавливал:
    http://www.trident.com.ua/rus/produkt.html

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,518
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\documents and settings\\sto\\doctorweb\\quarantine\\svc32_3.exe - Backdoor.Win32.Small.cup (DrWEB: BackDoor.Kiddy)
      2. d:\\documents and settings\\sto\\doctorweb\\quarantine\\wininet.exe - Backdoor.Win32.Small.cup (DrWEB: BackDoor.Kiddy)
      3. d:\\documents and settings\\sto\\local settings\\temp\\winlogon.exe - Trojan-Dropper.Win32.Agent.elj (DrWEB: Trojan.Packed.573)
      4. d:\\docume~1\\sto\\locals~1\\temp\\winlogon.exe - Trojan-Dropper.Win32.Agent.elj (DrWEB: Trojan.Packed.573)
      5. d:\\windows\\system32\\basesrv32.dll - Trojan.Win32.Inject.etk (DrWEB: Trojan.Inject.3759)


  • Уважаемый(ая) sto, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Trojan.Win32.Pakes.cot
      От LoMo в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:18
    2. Ответов: 15
      Последнее сообщение: 13.02.2009, 02:24
    3. Подозрение на троян Подозрение на Trojan.Win32.Pakes.lis
      От Валентин_K в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2009, 15:37
    4. Trojan.Win32.Pakes.lkc
      От LEON® в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.11.2008, 20:35
    5. Trojan.Win32.Pakes.cca
      От Ивпал в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 13.02.2008, 17:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01080 seconds with 22 queries