Показано с 1 по 14 из 14.

Virtumonde. Zhelatin and Socks. (заявка № 28805)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    58

    Exclamation Virtumonde. Zhelatin and Socks.

    Добрый день! нужна помощь в истребление троянов типа Virtumonde. началось все с того,что на рабочем столе появилось сообщение об windows warning message и отсутствие возможности смены скринов рабочего стола. KIS находит их,удаляет,после перезагрузки они появляются снова(сеть выключена). выкладываю логи.
    Надеюсь на помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
    R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.comO2 - BHO: 604262 helper - {4F006697-FB04-4B67-86BB-0DCA9C0514B4} - C:\WINDOWS\system32\604262\604262.dll
    O4 - HKLM\..\Run: [Help] C:\WINDOWS\system32\syses.exe
    - Выполните скрипт 1
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
     DelBHO('{4F006697-FB04-4B67-86BB-0DCA9C0514B4}');
     DeleteService('TlntSvrNetman');
     DeleteService('TapiSrvRemoteAccess');
     DeleteService('mnmsrvcTlntSvr');
     DeleteService('dmadminWZCSVC');
     QuarantineFile('C:\WINDOWS\system32\604262\604262.dll','');
     QuarantineFile('C:\WINDOWS\system32\syses.exe','');
     DeleteFile('C:\WINDOWS\system32\604262\604262.dll');
     DeleteFile('C:\WINDOWS\system32\syses.exe');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('TlntSvrNetman');
     BC_DeleteSvc('TapiSrvRemoteAccess');
     BC_DeleteSvc('mnmsrvcTlntSvr');
     BC_DeleteSvc('dmadminWZCSVC');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Выполните скрипт 2
    Код:
    begin
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 24.08.2008 в 21:26.

  4. #3
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    58
    Если Вы замечаете ошибку в начале пути - нужно остановиться и спросить, т.к. дальнейшее движение не имеет смысла.
    Я исправил ошибку.
    Повторите, плиз, все , начиная со скрипта 1.

  5. #4
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    58
    Хорошо, спасибо за совет. в таком случае хочу сразу пожаловаться на то, что после выполнения скрипта 1 Пк на перезагрузку не уходит автоматически. думает при сообщении "Выключение компьютера,сохранение параметров" ждал более 15 минут.пришлось жать RESET. Ранее при выполнении скриптов такого не было.
    Продолжать скрипт 2 при таком положение вещей?
    Последний раз редактировалось stranger87; 24.08.2008 в 22:39. Причина: Ошибки

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от stranger87 Посмотреть сообщение
    Продолжать скрипт 2 при таком положение вещей?
    Да

  7. #6
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    58
    Выполнил все как Вы указали.
    Карантин выслал,логи прикрепил.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    Какие еще проблемы?

  9. #8
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    58
    Пофиксил. Все прошло успешно. Особых проблем больше не обнаружено за исклюением одного момента - в папке Мой Компьтер появилась странная папка "Веб Папки" где находится ярлычок с "Мои Узлы MSN" Не знаю, что за папка ибо ранее такой у меня никогда не было( по крайней мере в папке Мой Компьютер) Самое обидное то, что удалить не получается...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Запустите редактор реестра , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\NonEnum\{BDEADF00-C265-11D0-BCED-00A0C90AB50F} должно быть значение-(1).

  11. #10
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    58
    Открыл редактор реестра, дошел до строки Policies и встал в тупик , так как папки NonEnum нет. в Policies только Ratings, где значений ,увы, никаких нет ((((
    Да, и еще с панели пропала раскладка языков. это сообщение писал с раскладкой "как попадется" )))

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от stranger87 Посмотреть сообщение
    Открыл редактор реестра, дошел до строки Policies и встал в тупик , так как папки NonEnum нет. в Policies только Ratings, где значений ,увы, никаких нет ((((
    Файл в аттаче переименуйте в 1.reg и запустите
    Цитата Сообщение от stranger87 Посмотреть сообщение
    Да, и еще с панели пропала раскладка языков. это сообщение писал с раскладкой "как попадется" )))
    Почитайте и выполните: http://virusinfo.info/showthread.php?t=20712
    Последний раз редактировалось Rene-gad; 18.07.2009 в 19:22.

  13. #12
    Junior Member Репутация
    Регистрация
    10.08.2008
    Сообщений
    36
    Вес репутации
    58
    С аттачем разобрался- запустил, все лишнее из Мой Компьютер изчезло. проблема решена.
    Не разобрался пока с изображением языков на панели. прошел по ссылке удалил ключи (остался только Baloon Tip) перезагрузился. Языков по прежнему нет((( Можно запустить панель путем ПУСК-ВЫПОЛНИТЬ ctfmon.exe. а во ткак ег ов автозагрузку сделать...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Тут: http://www.izcity.com/faq/winxp/question2345.html предлагается очень много вариантов. Попробуйте

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 52
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) stranger87, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Последствия Zhelatin?
      От #Root в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 08:18
    2. Worm.Win32.Socks.iw
      От def в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 05:18
    3. Email-Worm.Win32.Zhelatin и Nuwar.gen
      От blackswan в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:53
    4. Вероятно Zhelatin H и что то ещё
      От Practix в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 01:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00786 seconds with 19 queries