Показано с 1 по 14 из 14.

Virtumonde. Zhelatin and Socks. (заявка № 28805)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    31

    Exclamation Virtumonde. Zhelatin and Socks.

    Добрый день! нужна помощь в истребление троянов типа Virtumonde. началось все с того,что на рабочем столе появилось сообщение об windows warning message и отсутствие возможности смены скринов рабочего стола. KIS находит их,удаляет,после перезагрузки они появляются снова(сеть выключена). выкладываю логи.
    Надеюсь на помощь.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
    R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.comO2 - BHO: 604262 helper - {4F006697-FB04-4B67-86BB-0DCA9C0514B4} - C:\WINDOWS\system32\604262\604262.dll
    O4 - HKLM\..\Run: [Help] C:\WINDOWS\system32\syses.exe
    - Выполните скрипт 1
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
     DelBHO('{4F006697-FB04-4B67-86BB-0DCA9C0514B4}');
     DeleteService('TlntSvrNetman');
     DeleteService('TapiSrvRemoteAccess');
     DeleteService('mnmsrvcTlntSvr');
     DeleteService('dmadminWZCSVC');
     QuarantineFile('C:\WINDOWS\system32\604262\604262.dll','');
     QuarantineFile('C:\WINDOWS\system32\syses.exe','');
     DeleteFile('C:\WINDOWS\system32\604262\604262.dll');
     DeleteFile('C:\WINDOWS\system32\syses.exe');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('TlntSvrNetman');
     BC_DeleteSvc('TapiSrvRemoteAccess');
     BC_DeleteSvc('mnmsrvcTlntSvr');
     BC_DeleteSvc('dmadminWZCSVC');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Выполните скрипт 2
    Код:
    begin
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 24.08.2008 в 21:26.

  4. #3
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    31
    Если Вы замечаете ошибку в начале пути - нужно остановиться и спросить, т.к. дальнейшее движение не имеет смысла.
    Я исправил ошибку.
    Повторите, плиз, все , начиная со скрипта 1.

  5. #4
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    31
    Хорошо, спасибо за совет. в таком случае хочу сразу пожаловаться на то, что после выполнения скрипта 1 Пк на перезагрузку не уходит автоматически. думает при сообщении "Выключение компьютера,сохранение параметров" ждал более 15 минут.пришлось жать RESET. Ранее при выполнении скриптов такого не было.
    Продолжать скрипт 2 при таком положение вещей?
    Последний раз редактировалось stranger87; 24.08.2008 в 22:39. Причина: Ошибки

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от stranger87 Посмотреть сообщение
    Продолжать скрипт 2 при таком положение вещей?
    Да

  7. #6
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    31
    Выполнил все как Вы указали.
    Карантин выслал,логи прикрепил.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    Какие еще проблемы?

  9. #8
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    31
    Пофиксил. Все прошло успешно. Особых проблем больше не обнаружено за исклюением одного момента - в папке Мой Компьтер появилась странная папка "Веб Папки" где находится ярлычок с "Мои Узлы MSN" Не знаю, что за папка ибо ранее такой у меня никогда не было( по крайней мере в папке Мой Компьютер) Самое обидное то, что удалить не получается...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Запустите редактор реестра , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\NonEnum\{BDEADF00-C265-11D0-BCED-00A0C90AB50F} должно быть значение-(1).

  11. #10
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    31
    Открыл редактор реестра, дошел до строки Policies и встал в тупик , так как папки NonEnum нет. в Policies только Ratings, где значений ,увы, никаких нет ((((
    Да, и еще с панели пропала раскладка языков. это сообщение писал с раскладкой "как попадется" )))

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от stranger87 Посмотреть сообщение
    Открыл редактор реестра, дошел до строки Policies и встал в тупик , так как папки NonEnum нет. в Policies только Ratings, где значений ,увы, никаких нет ((((
    Файл в аттаче переименуйте в 1.reg и запустите
    Цитата Сообщение от stranger87 Посмотреть сообщение
    Да, и еще с панели пропала раскладка языков. это сообщение писал с раскладкой "как попадется" )))
    Почитайте и выполните: http://virusinfo.info/showthread.php?t=20712
    Последний раз редактировалось Rene-gad; 18.07.2009 в 19:22.

  13. #12
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    31
    С аттачем разобрался- запустил, все лишнее из Мой Компьютер изчезло. проблема решена.
    Не разобрался пока с изображением языков на панели. прошел по ссылке удалил ключи (остался только Baloon Tip) перезагрузился. Языков по прежнему нет((( Можно запустить панель путем ПУСК-ВЫПОЛНИТЬ ctfmon.exe. а во ткак ег ов автозагрузку сделать...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Тут: http://www.izcity.com/faq/winxp/question2345.html предлагается очень много вариантов. Попробуйте

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,514
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 52
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) stranger87, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Последствия Zhelatin?
      От #Root в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 08:18
    2. Worm.Win32.Socks.iw
      От def в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 05:18
    3. Email-Worm.Win32.Zhelatin и Nuwar.gen
      От blackswan в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:53
    4. Вероятно Zhelatin H и что то ещё
      От Practix в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 01:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00292 seconds with 20 queries