-
Trojan.Virtumod.1466
Забрал ноутбук товарища по работе домой к себе посмотреть.
Дело в том,что логи AVZ и HJT не сохраняются!Пропал Интернет,а комп так тормозит,что пока что-то загрузится утро настанет.
Посоветуйте,что делать.
CureIt нашёл и удалил Trojan.Virtumod.1466,но я думаю,что тут что-то ещё осталось и борьба будет тяжёлой и трудной.
Поэтому прошу помощь вне учений.
Я не представлял и не думал,что с этим я столкнусь вообще.
Последний раз редактировалось Vagon; 22.12.2008 в 23:47.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Это в "комплект" к предыдущему посту
Код:
var
AVZLogDir : string;
begin
AVZLogDir := GetAVZDirectory + 'exit\';
CreateDirectory(AVZLogDir);
// SearchRootkit(true, true);
CheckSPI;
SearchKeylogger;
ExecuteSysChkEV;
ExecuteSysChkIPU;
ExecuteWizard('TSW', 1, -1, false);
SetupAVZ('EvLevel=3');
SetupAVZ('ExtEvCheck=Y');
RunScan;
ExecuteSysCheckEX(AVZLogDir+'readme.txt', $FFFFFFFF, true, 1+2+16+32);
end.
На выходе должен получится exit\readme.txt .
-
-
Короче,расклад другой.
Логи в пути и скоро будут.А комп почему тормозил,скорей из-за того,что стоял на диване и грелся.
Поэтому скрипт не выпоняю,что приведён выше.
Скоро будут логи.
У себя в Интернет его подключать не хочу,чтобы зловредом не заразится.
Добавлено через 1 час 43 минуты
Гриша,прийдётся тебя огорчить,но сначало попарядку.
1.Я пытался настроить под свой Интернет,но это не помогло - не пашет.
2.При открытии Эксплорера всё висло = Старт - Перезагрузка,второй раз - это уже не работало и вырубить комп можно только через нажатие кнопки.
3.Логи делал без включенного Эксплорера и делало логи,но по завершении никакого сообщения,что скрипт выполнен не было,т.е. логов вообще никаких.Нету!
Что делать не знаю,может попробывать АВП Тузлой
4.В Таск Менеджере в процессах подозрительные объекты висят,так Таск Менеджер уже не открывает и висяк.
Добавлено через 58 минут
Малваребейтсом проверил - он нашёл 24 вируса и трояны.При попытке сохранить логи - висяк.
АВП Тулз тоже никакого эффекта.
Какой прогой попробывать ещё проверить?
Последний раз редактировалось Vagon; 22.12.2008 в 23:00.
Причина: Добавлено
-
Логи
Теперь Малваребейтс не пашет.
Кладу лог HJT,больше ничего другого не могу дать.Может посоветуете,что делать и чем проверить.Понятно,что формат дело быстрое,но хотелось бы без него обойтись.
Последний раз редактировалось Vagon; 07.01.2009 в 23:13.
-
-
-
Сначало Гмером попробую закончить,потом - RSIT,потом - ComboFix,чтобы логов было в полный комплект.
А то вподряд одни неудачи.
-
Из лога Hijack -
Выполнить в AVZ
Код:
begin
SetAVZGuardStatus(True);
DelWinlogonNotifyByKeyName('yaywuuSm');
DeleteFile('C:\Program Files\A360\av360.exe);
ExecuteSysClean;
RebootWindows(true);
end.
Стереть со вcем содержимым (сохранив копию аналитикам) -
C:\Program Files\A360
-
-
В скрипте ошибка 4:13
RSIT,SDFix не помогли.Буду КомбоФикс пробывать
-
Поправил скрипт:
Код:
begin
SetAVZGuardStatus(True);
DelWinlogonNotifyByKeyName('yaywuuSm');
DeleteFile('C:\Program Files\A360\av360.exe');
ExecuteSysClean;
RebootWindows(true);
end.
-
-
-
ЛОГИ AVZ (Сейф Мод)
Только скажите,где мне скрипт выполнять в обычном или в сейфмоде...
Последний раз редактировалось Vagon; 07.01.2009 в 23:13.
-
Попробуй разобраться с количеством а/вирусов. Я вижу Авиру, Доктора.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('F105B384CD8D0518');
StopService('F105B384CD8D0518');
QuarantineFile('C:\Documents and Settings\User\F105B384CD8D0518\F105B384CD8D0518','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Вот это что-то интересное. Если попадется, пришли по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Карантин залил,но зависания так и остаются
Сейчас по новой логи сделаю.
Файл сохранён как 081223_161242_virus_4950e3ca16af7.zip
Размер файла 2996
MD5 8c898b277a29899dc1613759bb1b3d17
-
Как же на него у меня Симантек заругался грязно
Логи заново надо сделать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Уже №3 заканчивает,а потом,когда выложу логи подробно изложу суть полной проблемы.
Послал в Авиру архив и получил ответ.
The file 'avz00002.dta' has been determined to be 'MALWARE'. Our analysts named the threat TR/Agent.ALLS.1. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.01.01.09. Please note that Avira's proactive heuristic detection module AHeAD detected this threat up front without the latest VDF update as: TR/Rootkit.Gen.
Проверил архив на своём компе - Авира молчит.Странно.
-
1.При входе в винду,если неуспел нажать на Юзер,то помогает только кнопка выключения компа.
2.Комп до сих пор тормозит и нету Интернета.
3.Остальное,как я писал вначале,что на всё даётся 1 попытка,иначе только вырубка компа через кнопку.
4.Таск Менеджер не пашет большинство времени.
5.Эксплорер,как и ФраерФокс не открываются.А если всё-таки повезёт их открыть,то тут тормоза и зависания.
Вообщем,если чего не так,вырубка компа только через кнопку.
Последний раз редактировалось Vagon; 07.01.2009 в 23:13.
-
А Симантик его убивает?Может его установить и пройтись.А Доктора снести не получилось.
-
Надо с LiveCd убить тот файл из №13.
Добавлено через 1 минуту
Третий а/вирус будет явно лишним.
Можно попробовать убить этот файл IceSword, но в норм. режиме.
Последний раз редактировалось PavelA; 23.12.2008 в 18:49.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Я поудалял вроде всё,но Доктор не удаляется,а где 3-ий нашли я не знаю.
Пойду пробывать айсвордом.
Добавлено через 9 минут
Там в той папке есть av360.exe,но кроме него есть и другие файлы,которые чистые Эксплорер,Вавилон итд. Что там удалять
Последний раз редактировалось Vagon; 23.12.2008 в 19:23.
Причина: Добавлено