Показано с 1 по 17 из 17.

Пытается рассылать почту и ворует пароли (заявка № 26408)

  1. #1
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    8
    Вес репутации
    58

    Exclamation Пытается рассылать почту и ворует пароли

    Как только захожу в интернет, вирус начинает постоянно что-то делать ... trojan.generic вот вижу ... Два дня пытался удалить все вирусные файлы путем создания скрипта DeleteFile , которые распознала ваша программа AVZ, но это не помогает, видимо потому, что в реестре не все получается вернуть в работающее состояние ...
    Значок подключения интернета в нижнем правом низу экрана иссчезает, хотя к интернету я подключен
    Последний раз редактировалось sanko; 13.07.2008 в 20:24.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\apm2.tmp','');
     DeleteFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\apm2.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=26408).

    Очистите временные файлы IE через "Свойства обозревателя".
    Обновите базы AVZ.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    8
    Вес репутации
    58
    Восстановление системы отключил.

    "Результат загрузки
    Файл сохранён как 080713_104711_2008-07-13_487a237f6272e.zip
    Размер файла 529359
    MD5 1a2cb58c951bc55574f2a782747addd3
    Файл закачан, спасибо!"

    Отправил карантин, только запаролить не получилось.
    Временные файлы очистил. Базы AVZ обновил. Новые логи прикреплены.
    Жду дальнейших указаний, заранее спасибо)
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    a.sys - пришлите согласно приложения 2 правил .....

  6. #5
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    8
    Вес репутации
    58
    Нажимаю файл - добавление в карантин по списку,
    a.sys
    Процесс добавления файлов запущен
    Процесс добавления файлов завершен
    в окне AVZ:
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\a.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\a.sys)
    Карантин с использованием прямого чтения - ошибка

    дальше жму "Файл" - >"Просмотр карантина".

    "Справа в списке файлов отметьте те файлы которые хотите выслать" - НО a.sys там нет((( может я не там смотрю?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     BC_DeleteSvc('vsdatant');
     BC_Activate;
     RebootWindows(true);
    end.
    какие -то проблемы остались ?

  8. #7
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    8
    Вес репутации
    58
    Выполнил ... Конечно остались ... ничего и не изменилось по-моему ... В правом нижнем углу не выводятся текущие подключения к интернету или подключения flash-накопителей ... при сканировании AVZ каждый раз после перезагрузки компьютера изменяет половину ключей реестра:
    Функция NtAlertResumeThread (0C) перехвачена (8062E4EC->820E4380), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtAlertThread (0D) перехвачена (8057998C->820DCA00), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtAllocateVirtualMemory (11) перехвачена (80568777->82097D20), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtClose (19) перехвачена (805675D9->F84FB02, перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtConnectPort (1F) перехвачена (80598C34->82112CB, перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtCreateKey (29) перехвачена (8056F063->F84FAFE0), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtCreateMutant (2B) перехвачена (80578E73->820A9F10), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtCreatePagingFile (2D) перехвачена (805BD9D8->F84EEB00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtCreateThread (35) перехвачена (8057F262->8219DE7, перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateKey (47) перехвачена (8056F76A->F84EF5DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtEnumerateValueKey (49) перехвачена (805801FE->F84FB120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtFreeVirtualMemory (53) перехвачена (80568FC4->82096F0, перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtImpersonateAnonymousToken (59) перехвачена (80596925->82308DC, перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtImpersonateThread (5B) перехвачена (8057C33A->81F4619, перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtMapViewOfSection (6C) перехвачена (80573C04->82147A10), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenEvent (72) перехвачена (80580306->822082B0), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenFile (74) перехвачена (805715E7->F84EEB40), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenKey (77) перехвачена (805684D5->F84FAFA4), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenProcessToken (7B) перехвачена (8056C8FC->820D7DB0), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtOpenThreadToken (81) перехвачена (8056C383->82096A30), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtProtectVirtualMemory (89) перехвачена (8057494D->F2B9D240), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryDefaultLocale (8F) перехвачена (8056676E->F8333790), перехватчик C:\WINDOWS\system32\Drivers\SysPlant.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryKey (A0) перехвачена (8056F473->F84EF5FC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F84FB076), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtResumeThread (CE) перехвачена (8057F8D5->82381500), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetContextThread (D5) перехвачена (8062C85B->820D86A, перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetInformationProcess (E4) перехвачена (8056C608->82096B5, перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetInformationThread (E5) перехвачена (80576E5D->820967E0), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSetSystemPowerState (F1) перехвачена (8066608F->F84FA550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSuspendProcess (FD) перехвачена (8062E431->82207420), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtSuspendThread (FE) перехвачена (805DC61B->820DAF30), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtTerminateProcess (101) перехвачена (8058AE1E->822269A, перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtTerminateThread (102) перехвачена (8057E97C->820D9260), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtUnmapViewOfSection (10B) перехвачена (80573789->820D85D0), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtWriteVirtualMemory (115) перехвачена (8057C123->82097AA0), перехватчик не определен
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован



    !!! Внимание !!! Восстановлено 35 функций KiST в ходе работы антируткита
    Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер


    В TEMP появляются h2r9.tmp и r2h8.tmp.
    А при сканировании в AVZ четвертым стандартным скриптом (скрипт сбора неопознанных и подозрительных файлов):

    Выполняется автокарантин
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_nvatabus.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (deskpan.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServe r {00E7B358-F65B-4dcf-83DF-CD026B94BFD4})
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (System)
    Карантин с использованием прямого чтения - ошибка
    Автокарантин завершен

    Файлы System,dump_WMILIB.SYS, dump_nvatabus.sys, shimgvw.dll удалить не получается, всегда после перезагрузки восстанавливаются

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    это нормально ....

  10. #9
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    8
    Вес репутации
    58
    Ладно... я не сильно в этом разбираюсь... но раньше не было никакого красного текста после проверок ...
    Ответьте только на один вопрос. Почему в правом нижнем углу не отображаются текущие подключения к интернету? И вообще отключиться от него никак нельзя если зашел, т.к. компьютер думает, что я не в сети.
    Скрин после того как подключился прикреплен.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    экспортируйте ключ реестра
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\TrayNotify
    запакуйте и приложите ...

  12. #11
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    8
    Вес репутации
    58
    Приложил
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\TrayNotify
    удалите параметр IconStreams
    при помощи диспетчера задач перезапустите explorer.exe ...

  14. #13
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    8
    Вес репутации
    58
    Не понял как перезапустить explorer.exe через диспетчер задач. После удаления IconStreams в правом нижнем углу текущие подключения так и не отображаются, когда делаешь перезагрузку компьютера - IconStreams восстанавливается вновь.(((

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    восстанавливаться ключ должен .... но правильный ...
    похоже какая -то программа шалит ... например антивирус...

  16. #15
    Junior Member Репутация
    Регистрация
    13.07.2008
    Сообщений
    8
    Вес репутации
    58
    Вообщем завтра попробую форматнуть жесткий, если вирус с флэшки опять перенесется, то буду стучать дальше сюда)

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от sanko Посмотреть сообщение
    если вирус с флэшки опять перенесется, то буду
    стучать дальше сюда)
    то что было у вас через флешки не переносится .... для решения проблемы скорее будет тостаточео накатить windows в режиме восстановления ...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) sanko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 15.07.2010, 20:06
    2. Кто-то ворует пароли при взоде в систему
      От Pozitiv в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.10.2009, 02:16
    3. Ответов: 7
      Последнее сообщение: 08.06.2009, 22:39
    4. Ответов: 19
      Последнее сообщение: 14.11.2008, 23:36
    5. Кто ворует пароли?
      От AlexSh1 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.06.2007, 15:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01228 seconds with 20 queries