Показано с 1 по 8 из 8.

Подозрение на троян (заявка № 18518)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    17.02.2008
    Сообщений
    7
    Вес репутации
    62

    Exclamation Подозрение на троян

    Пару дней назад комп стал както подглючивать, при включении загрузка цп была 100%, как выяснилось его грузил рпоцесс iexplore.exe. В списке программ появилось некое seekmo, которое детектилось авз как 99 процентов перехватчик данных клавиатуры. Через анлокер было видно, что файлы из папки с сикмо прослеживают все действия таких программ как опера, icq, квип, мэйл агент и т.д. Удалить его смог только в безопасном режиме через авз. Также после этого возникли проблемы с коннектом к icq и другим подобным программам, писало что слишком много входов, реконнект через 30 минут. В списке процессов было много разной нечести, которую побил куреит, но логи к сожалению найти не могу.
    Ещё забыл сказать, до этого месяца 2 назад система была вылечена от модификации пинча, но это время всё работало нормально.
    Прикладываю 3 лога:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\lsass.exe
    O4 - HKLM\..\Run: [SeekmoOE] C:\Program Files\Seekmo\bin\10.0.406.0\OEAddOn.exe
    O4 - HKLM\..\Run: [SeekmoSA] "C:\Program Files\Seekmo\bin\10.0.406.0\SeekmoSA.exe"
    O21 - SSODL: bxlrvps - {BD56A9A6-3761-4AA6-97E1-360DB8E84B8E} - C:\WINDOWS\bxlrvps.dll (file missing)
    O21 - SSODL: alofkmn - {F8CAFF45-E7D7-4100-AF65-76F4DE3ACE5F} - C:\WINDOWS\alofkmn.dll
    O21 - SSODL: SetupDrv - {237ef590-f7be-485a-ba3a-d8d4e6615b5d} - C:\WINDOWS\Installer\{237ef590-f7be-485a-ba3a-d8d4e6615b5d}\SetupDrv.dll
    O21 - SSODL: BootBoot - {9c6dbc9d-3252-4cc7-8265-b1f0c7a09a89} - C:\WINDOWS\Installer\{9c6dbc9d-3252-4cc7-8265-b1f0c7a09a89}\BootBoot.dll
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\lsass.exe','');
     QuarantineFile('C:\WINDOWS\bxlrvps.dll','');
     QuarantineFile('C:\WINDOWS\Installer\{9c6dbc9d-3252-4cc7-8265-b1f0c7a09a89}\BootBoot.dll','');
     QuarantineFile('C:\WINDOWS\Installer\{237ef590-f7be-485a-ba3a-d8d4e6615b5d}\SetupDrv.dll','');
     QuarantineFile('C:\WINDOWS\dgtxrdfsnw.dll','');
     QuarantineFile('C:\WINDOWS\alofkmn.dll','');
     DeleteFile('C:\WINDOWS\alofkmn.dll');
     DeleteFile('C:\WINDOWS\dgtxrdfsnw.dll');
     DeleteFile('C:\WINDOWS\Installer\{237ef590-f7be-485a-ba3a-d8d4e6615b5d}\SetupDrv.dll');
     DeleteFile('C:\WINDOWS\Installer\{9c6dbc9d-3252-4cc7-8265-b1f0c7a09a89}\BootBoot.dll');
     DeleteFile('C:\WINDOWS\bxlrvps.dll');
     DeleteFile('C:\WINDOWS\lsass.exe');
    BC_ImportALL;
    BC_DeleteSvc('catchme');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=18518).
    ConnectionServices деинсталлируйте - это adware.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    17.02.2008
    Сообщений
    7
    Вес репутации
    62
    Случайно забыл выключить антивирус во время выполнения скрипта, в конце скрипта аваст заорал что файл C:\WINDOWS\system32\Drivers\vdg4njgy.sys инфицырован вирусом Win32:Trojan-gen {Other} и продолжал так орать каждые 30 секунд. Сейчас попробую отключить антивирус и заново выполнить скрипт.

  5. #4
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    17.02.2008
    Сообщений
    7
    Вес репутации
    62
    Скрипт выполнинл, в hijackthis пофиксил, вот новые логи:
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все чисто. Осталось пофиксить эту строчку:
    Код:
    O2 - BHO: WRL Advisor - {878CA87E-BD03-4991-A1A8-A1EBEB50578F} - C:\WINDOWS\dgtxrdfsnw.dll (file missing)
    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Какие-нибудь проблемы остались?

    Добавлено через 2 минуты

    Кстати, а где ваш карантин? Пришлите обязательно.
    Последний раз редактировалось Bratez; 23.02.2008 в 16:14. Причина: Добавлено
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация Репутация Репутация Репутация
    Регистрация
    17.02.2008
    Сообщений
    7
    Вес репутации
    62
    Карантин отправил, правда в него не попал файл lsass.exe, в hijackthis пофиксил, всё ненужное из списка отключил, спасибо, система работает нормально.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Trojan.Win32.ConnectionServices.o c:\program files\connectionservices\connectionservices.dll
    Похоже свежие:
    C:\WINDOWS\alofkmn.dll
    C:\WINDOWS\dgtxrdfsnw.dll

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.o (DrWEB: Trojan.BitAcc)
      2. c:\\windows\\alofkmn.dll - not-a-virus:AdWare.Win32.Vapsup.bpj (DrWEB: Adware.Supa)
      3. c:\\windows\\dgtxrdfsnw.dll - not-a-virus:AdWare.Win32.Vapsup.bpi (DrWEB: Adware.Supa)
      4. c:\\windows\\installer\\{237ef590-f7be-485a-ba3a-d8d4e6615b5d}\\setupdrv.dll - Trojan-Downloader.Win32.Agent.jnw (DrWEB: Trojan.DownLoader.49287)
      5. c:\\windows\\installer\\{9c6dbc9d-3252-4cc7-8265-b1f0c7a09a89}\\bootboot.dll - Trojan-Downloader.Win32.Agent.jnw (DrWEB: Trojan.DownLoader.49287)


  • Уважаемый(ая) Shtorm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на WM троян
      От -=DeS=- в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.05.2010, 10:43
    2. Подозрение на троян.
      От qokyon в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.04.2010, 00:57
    3. Подозрение на троян
      От psyinfo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 05.12.2009, 12:20
    4. Подозрение на троян
      От Brodsky в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 04:06
    5. Подозрение на троян Подозрение на Trojan.Win32.Pakes.lis
      От Валентин_K в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2009, 15:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01084 seconds with 20 queries