Показано с 1 по 20 из 20.

Trojandownloader_xs, все началось с этого (заявка № 21320)

  1. #1
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    30
    Вес репутации
    59

    Thumbs up Trojandownloader_xs, все началось с этого

    Добрый день.
    Все началось с того, что на рабочем столе появилось предупреждение о вирусной опасности и ссылочка на сайт livesecuritycenter.com/?aid=242.0.
    Avast удалял какие-то файлы, но ник чему это не привело.
    Диспетчер задач заблокировался.
    Во вложении логи.
    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    я вам скажу с чего это началось :с хождения по сомнительным сайтам с правами администратора, включённые скрипты по умолчанию в браузере

  4. #3
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    30
    Вес репутации
    59
    И как с этим бороться не подскажете?

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Отключите антивирус и инет перед исполнением скрипта.
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{ffff0001-0002-101a-a3c9-08002b2f49fb}');
     DelBHO('{fc3a74e5-f281-4f10-ae1e-733078684f3c}');
     DelBHO('{cf021f40-3e14-23a5-cba2-717765728274}');
     DelBHO('{9c5b2f29-1f46-4639-a6b4-828942301d3e}');
     DelBHO('{965a592f-8efa-4250-8630-7960230792f1}');
     DelBHO('{8674aea0-9d3d-11d9-99dc-00600f9a01f1}');
     DelBHO('{622cc208-b014-4fe0-801b-874a5e5e403a}');
     DelBHO('{5fa6752a-c4a0-4222-88c2-928ae5ab4966}');
     DelBHO('{5dafd089-24b1-4c5e-bd42-8ca72550717b}');
     DelBHO('{5929cd6e-2062-44a4-b2c5-2c7e78fbab38}');
     DelBHO('{4e7bd74f-2b8d-469e-92c6-ce7eb590a94d}');
     DelBHO('{4e1075f4-eec4-4a86-add7-cd5f52858c31}');
     DelBHO('{15651c7c-e812-44a2-a9ac-b467a2233e7d}');
     DelBHO('{13197ace-6851-45c3-a7ff-c281324d5489}');
     DelBHO('{00000250-0320-4dd4-be4f-7566d2314352}');
     DelBHO('{663B9A65-1BB6-43E1-ABE4-D0C52612D3F0}');
     TerminateProcessByName('c:\documents and settings\Михаил\cftmon.exe');
     TerminateProcessByName('c:\windows\system32\drivers\spools.exe');
     QuarantineFile('C:\WINDOWS\system32\win_d55.dll','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Xsp41.sys','');
     QuarantineFile('c:\winself.exe','');
     QuarantineFile('C:\Documents and Settings\Михаил\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\wmsdkns.exe','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('c:\windows\system32\drivers\spools.exe','');
     QuarantineFile('c:\documents and settings\Михаил\cftmon.exe','');
     DeleteFile('c:\documents and settings\Михаил\cftmon.exe');
     DeleteFile('c:\windows\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\Documents and Settings\Михаил\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Xsp41.sys');
     DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
     DeleteFile('WLCtrl32.dll');
    BC_ImportAll;
    BC_DeleteSvc('Schedule');
    BC_DeleteSvc('Google Online Services');
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
     ExecuteRepair(1); 
     ExecuteRepair(11); 
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21320

    Повторите логи
    Последний раз редактировалось drongo; 10.04.2008 в 13:59.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Изменил не много скрипт, чтобы сократить количество перегрузок. теперь выполняйте.

  7. #6
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    30
    Вес репутации
    59

    Повторные логи

    Высылаю повторные логи.
    Файл virus.zip выслал.
    Вложения Вложения

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скачайте IceSword.
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем C:\WINDOWS\system32\WLCtrl32.dll и C:\WINDOWS\system32\Drivers\Xsp41.sys.
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".
    Перезагрузите компьютер.
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{ffff0001-0002-101a-a3c9-08002b2f49fb}');
     DelBHO('{fc3a74e5-f281-4f10-ae1e-733078684f3c}');
     DelBHO('{cf021f40-3e14-23a5-cba2-717765728274}');
     DelBHO('{9c5b2f29-1f46-4639-a6b4-828942301d3e}');
     DelBHO('{965a592f-8efa-4250-8630-7960230792f1}');
     DelBHO('{8674aea0-9d3d-11d9-99dc-00600f9a01f1}');
     DelBHO('{622cc208-b014-4fe0-801b-874a5e5e403a}');
     DelBHO('{5fa6752a-c4a0-4222-88c2-928ae5ab4966}');
     DelBHO('{5dafd089-24b1-4c5e-bd42-8ca72550717b}');
     DelBHO('{5929cd6e-2062-44a4-b2c5-2c7e78fbab38}');
     DelBHO('{4e7bd74f-2b8d-469e-92c6-ce7eb590a94d}');
     DelBHO('{4e1075f4-eec4-4a86-add7-cd5f52858c31}');
     DelBHO('{15651c7c-e812-44a2-a9ac-b467a2233e7d}');
     DelBHO('{13197ace-6851-45c3-a7ff-c281324d5489}');
     DelBHO('{00000250-0320-4dd4-be4f-7566d2314352}');
     DelBHO('{663B9A65-1BB6-43E1-ABE4-D0C52612D3F0}');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Xsp41.sys');
     DeleteFile('WLCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи

  9. #8
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    30
    Вес репутации
    59

    Повторные логи

    Повторяю логи.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\wmsdkns.exe,
    O2 - BHO: (no name) - {00000250-0320-4dd4-be4f-7566d2314352} - (no file)
    O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)
    O2 - BHO: (no name) - {15651c7c-e812-44a2-a9ac-b467a2233e7d} - (no file)
    O2 - BHO: (no name) - {4e1075f4-eec4-4a86-add7-cd5f52858c31} - (no file)
    O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-92c6-ce7eb590a94d} - (no file)
    O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)
    O2 - BHO: (no name) - {5dafd089-24b1-4c5e-bd42-8ca72550717b} - (no file)
    O2 - BHO: (no name) - {5fa6752a-c4a0-4222-88c2-928ae5ab4966} - (no file)
    O2 - BHO: (no name) - {622cc208-b014-4fe0-801b-874a5e5e403a} - (no file)
    O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)
    O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)
    O2 - BHO: (no name) - {9c5b2f29-1f46-4639-a6b4-828942301d3e} - (no file)
    O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765728274} - (no file)
    O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)
    O2 - BHO: (no name) - {ffff0001-0002-101a-a3c9-08002b2f49fb} - (no file)
    O20 - AppInit_DLLs: C:\WINDOWS\system32\win_d55.dll
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\adsnd.dll','');
     QuarantineFile('C:\WINDOWS\system32\win_d55.dll','');
     QuarantineFile('C:\WINDOWS\system32\wmsdkns.exe','');
     DeleteFile('C:\WINDOWS\system32\wmsdkns.exe');
     DeleteFile('C:\WINDOWS\system32\win_d55.dll');
    BC_DeleteSvc('MSSysInterv');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(11);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    I am not young enough to know everything...

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Неплохой, почти стандартный наборчик:

    adsnd.dll - Rootkit.Win32.Podnuha.bf,
    cftmon.exe1, cftmon.exe_, spools.exe_ - Worm.Win32.Socks.bt,
    wmsdkns.exe_ - not-virus:Hoax.Win32.Renos.blu
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    jess, после выполнения рекомендаций Bratez из поста № 9 логи повторите. Посмотрим, что там с врагами.

  13. #12
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    30
    Вес репутации
    59

    Повторные логи

    Повтряю логи
    Вложения Вложения

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Удалим гаденыша:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\adsnd.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После этого сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    30
    Вес репутации
    59

    Повторные логи

    Повторяю логи.
    Вложения Вложения

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    То, что было по Касперскому (удалены):
    adsnd.dll - Rootkit.Win32.Podnuha.bf,
    cftmon.exe1, cftmon.exe_, spools.exe_ - Worm.Win32.Socks.bt,
    wmsdkns.exe_ - not-virus:Hoax.Win32.Renos.blu

    WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.hx (свежий)

    В логах ничего плохого не увидел. Надо только разобраться с Потенциальными уязвимостями + с остальными проблемами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    30
    Вес репутации
    59

    Спасибо

    Спасибо за помощь.
    Только вот этот пост мне не понятен "хождение по сомнительным сайтам с правами администратора, включённые скрипты по умолчанию в браузере "...
    Где это исправить? Подскажите пожалуйста.

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    В этой книге все подробно описано.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от jess Посмотреть сообщение
    Спасибо за помощь.
    Только вот этот пост мне не понятен "хождение по сомнительным сайтам с правами администратора, включённые скрипты по умолчанию в браузере "...
    Где это исправить? Подскажите пожалуйста.
    Есть категории пользователей: Администратор, Power User, и еще более низкая ступень.
    В Вашем случае рекомендовано ходить по Инету с пользователем, имеющим ограниченные права.
    Надо завести пользователя с огран. правами через панель управления и зайдя в него уже лазать по сайтам. Если вдруг попадете на зараженный сайт, то зловред ничего не сможет сделать, ничего записать лишнего на диск, в систему.
    Единственное неудобство: устанавливать большинство программ можно только из-под аккоунта с Администраторскими правами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    10.04.2008
    Сообщений
    30
    Вес репутации
    59

    Спасибо

    Спасибо Вам всем большое за помощь. ОЧень полезный ресурс.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 60
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\localservice\\cftmon.exe - Worm.Win32.Socks.bt (DrWEB: Win32.HLLW.Socks)
      2. c:\\documents and settings\\михаил\\cftmon.exe - Worm.Win32.Socks.bt (DrWEB: Win32.HLLW.Socks)
      3. c:\\windows\\system32\\adsnd.dll - Rootkit.Win32.Podnuha.bf (DrWEB: Trojan.DownLoader.56883)
      4. c:\\windows\\system32\\drivers\\spools.exe - Worm.Win32.Socks.bt (DrWEB: Win32.HLLW.Socks)
      5. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.hx (DrWEB: Trojan.DownLoader.56882)
      6. c:\\windows\\system32\\wmsdkns.exe - Hoax.Win32.Renos.blu (DrWEB: Trojan.Fakealert.506)


  • Уважаемый(ая) jess, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Как избавиться от этого
      От Anton1985 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.02.2011, 21:50
    2. Как удалить этого вредителя?
      От Oleg Pomazanovsky в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 09.09.2009, 11:42
    3. Атака с этого компа
      От Andy_Hunter в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.04.2009, 11:20
    4. Вирусов нет, но от этого не легче.
      От Segonha в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.12.2008, 22:28
    5. Как избавиться от этого вируса sdfdil.exe
      От Olegtlt в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.05.2007, 17:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01520 seconds with 20 queries