Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

win32.banker.fs и trojan.spyagent.da (заявка № 18791)

  1. #1
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    33

    Thumbs up win32.banker.fs и trojan.spyagent.da

    постоянно выскакивают системные сообщения об этих вирусах, norton обновляется, работает, но ничего не видит... не знаю что делать..
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от connan Посмотреть сообщение
    ... не знаю что делать..
    выполнить

  4. #3
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    33
    выполнил...

    Добавлено через 1 минуту

    avz заподозрил аж 80 файлов, но больше ничего не изменилось...
    Последний раз редактировалось connan; 27.02.2008 в 23:53. Причина: Добавлено

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от connan Посмотреть сообщение
    выполнил...
    для начала нужно было хотя бы прочитать
    где логи ?

  6. #5
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    33
    упс... что-то сразу не всё прикрепилось... сорри..
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll','');
     QuarantineFile('D:\Program Files\Internet Explorer\SETUPAPI.dll','');
     QuarantineFile('D:\WINDOWS\system32\basebvw32.dll','');
     QuarantineFile('D:\WINDOWS\system32\bitsprx.dll','');
     QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('D:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\winload.exe','');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     DeleteFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('D:\WINDOWS\system32\cssrss.exe');
     DeleteFile('D:\WINDOWS\system32\ntos.exe');
     DeleteFile('D:\WINDOWS\system32\bitsprx.dll');
     DeleteFile('D:\Program Files\Internet Explorer\SETUPAPI.dll');
     DelBHO('{9D28597B-67AA-4755-BCD5-56D20889E8B0}');
     BC_DeleteSvc('smtpdrv');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  8. #7
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    33
    вроде как переслал...

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    перечитайте как нужно отправлять файлы ( приложение 3 правил ) ... только читать внимательно .....

  10. #9
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    33
    прошу прощенья... теперь вроде всё как надо сделал

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll not-virus:Hoax.Win32.Renos.awn
    D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll not-virus:Hoax.Win32.Renos.awm
    D:\Program Files\Internet Explorer\SETUPAPI.dll Trojan-Spy.Win32.Webmoner.fx
    D:\WINDOWS\system32\basebvw32.dll Trojan.Win32.Agent.edu
    D:\WINDOWS\system32\ntos.exe Trojan-Spy.Win32.Zbot.ajx
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll');
     DeleteFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    затем еще один ...
    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
      SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    повторите логи ...

  12. #11
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    33
    ну хоть теперь я правильно понял, что после скриптов надо было повторить начальные операции и новые логи прислать?
    Вложения Вложения

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Да, все правильно. Лечение прошло успешно. Осталось подобрать мусор.
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll (file missing)
    O2 - BHO: WindowsUpdate Class - {B3B010A1-A877-4CD7-BAB5-9EE8F9965E20} - D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll (file missing)
    O3 - Toolbar: Seekmo Toolbar - {53E0B6E8-A51D-448B-B692-40B67B285543} - D:\Program Files\Seekmo Programs\Seekmo Toolbar\SeekmoTB.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll (file missing)
    O4 - HKLM\..\Run: [winclean] d:\windows\system32\winclean.exe
    O4 - HKLM\..\Run: [winload] C:\Program Files\Internet Explorer\winload.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    33
    вроде так...
    Вложения Вложения

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Еще одну пустышку проглядел, извиняюсь.
    Выполните скрипт в AVZ:
    Код:
    begin
    BC_DeleteSvc('kcp');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Какие-нибудь проблемы остались?
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    33
    да... после выполнения предыдущего скрипта комп начал перезагружаться и завис...
    и написать об этом было не с чего...

    Добавлено через 1 минуту

    так грузиться и не хочет...
    Последний раз редактировалось connan; 28.02.2008 в 10:48. Причина: Добавлено

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Защищ. режим тоже не работает?
    Тогда придется делать откат к посл. успешной конфигурации и повторять все логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    33
    он ВООБЩЕ не грузится... просто чёрный экран и всё...
    сейчас взял загрузочный диск на работе буду с него загружаться...
    стыдно конечно спрашивать, но не знаю как "откат к посл. успешной конфигурации" произвести...

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    При загрузке клавишу F8 давишь, там меню выскакивает, в нем пункт этот должен быть.

    Можешь еще защищенный попробовать (Safe Mode)
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    27.02.2008
    Сообщений
    12
    Вес репутации
    33
    да не работает F8... что-то вроде грузит сначала, причём на экране вообще ничего не видно, а потом зависает...

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Глюк какой-то. Скрипт совершенно тривиальный и безопасный, не мог он такое сотворить ну никак. На экране совсем-совсем ничего не появляется? Может сигнальный кабель отвалился?
    I am not young enough to know everything...

  • Уважаемый(ая) connan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.Banker.FS Trojan.SpyAgent.Da. [Trojan.Win32.Agent.bheh ]
      От Granat-MAXI в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 10:03
    2. Win32.Banker.FS Trojan.SpyAgent.Da
      От vovik в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 09:14
    3. ...Win32.Banker.FS Trojan.SpyAgent.Da...
      От pofigist008 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 09:01
    4. Еще раз о Win32.Banker.FS Trojan.SpyAgent.Da.
      От dekty в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:43
    5. Win32.Banker.FS Trojan.SpyAgent.Da.
      От Харченко Сергей в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.03.2008, 13:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00122 seconds with 22 queries