-
Junior Member
- Вес репутации
- 60
Penetrator [Trojan-Downloader.Win32.VB.bnp,
]
На компьютере у знакомой вчера исчезли все аудио файлы, а на фото-файлах и вордовских файлах отображается рисунок Penetrator.
При открытии любого текста появляется вот это:
*НА… ПОСЛАНА, …., ТЕПЕРЬ ТЫ НЕ ВЕРНЁШЬ СВОИ ДАННЫЕ!!А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ КАК ТЫ, …., ИШЕШЬ ВИНОВНИКА!! …. …. , …. ….!! ХАХАХАХ \Penetrator\
MY ICQ: 402974020
JB17*
Последний раз редактировалось IRON PRIEST; 18.07.2009 в 11:35.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Выполните скрипт AVZ (Файл/выполнить скрипт):
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\svсhоst.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\*.exe','');
QuarantineFile('c:\windows\system32\аhtоmsys19.exe','');
TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
TerminateProcessByName('C:\WINDOWS\system32\DETER177\lsass.exe');
TerminateProcessByName('C:\WINDOWS\system32\DETER177\smss.exe');
QuarantineFile('c:\windows\system32\deter177\smss.exe','');
DeleteFile('c:\windows\system32\deter177\smss.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\smss.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\svсhоst.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
DeleteFile('c:\windows\system32\аhtоmsys19.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
В ходе выполнения скрипта компьютер перезагрузится, после чего пришлите пожалуйста содержимое карантина AVZ согласно правилам
2. Повторите исследование и приложите новые протоколы для контроля, а также сообщите, исчезли проблемы или нет.
-
-
Junior Member
- Вес репутации
- 60
Так. скрипт выполнен. Исследование выполнено заново. Логи:
Поведение компьютера осталось без изменений(((
Последний раз редактировалось IRON PRIEST; 18.07.2009 в 11:35.
-
Сообщение от
IRON PRIEST
Так. скрипт выполнен. Исследование выполнено заново. Логи:
Поведение компьютера осталось без изменений(((
Не удивительно, зверь по прежнему виден в логах.
Выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\аhtоmsys19.exe');
TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
TerminateProcessByName('C:\WINDOWS\system32\DETER177\lsass.exe');
TerminateProcessByName('C:\WINDOWS\system32\DETER177\smss.exe');
SetupAVZ('SCAN='C:\WINDOWS\system32');
SetupAVZ('DelVir=Y');
RunScan;
DeleteFile('c:\windows\system32\deter177\smss.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\smss.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\svсhоst.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
DeleteFile('c:\windows\system32\аhtоmsys19.exe');
DeleteFileMask('C:\WINDOWS\system32\DETER177','*.exe', false);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
При копировании следует обратить особое внимание на то, что при копировании скрипта в буфер и вставке его в AVZ нужно включить русскую раскладку клавиатуры !! Дело в том, что в именах файлов есть русские буквы, идентичные по начертанию с латинскими.
2. Точно отключены все антивирусы и аналогичное им защитное ПО ?
Последний раз редактировалось Зайцев Олег; 01.01.2009 в 21:40.
-
-
Junior Member
- Вес репутации
- 60
Что-то ничего не получается
-
Сообщение от
IRON PRIEST
Что-то ничего не получается
У этого зловреда иконка имеет вид папки, поэтому можно запускать его с флешки не замечаяя этого. Но в общем странная ситуация - положенный по правилам DrWEB CureIT его детектит и лечит, AVZ его тоже детектит и лечит, предложенные скрипты его убивают ...
Попробуйте еще раз скрипт:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\аhtоmsys19.exe');
TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
TerminateProcessByName('C:\WINDOWS\system32\DETER177\lsass.exe');
TerminateProcessByName('C:\WINDOWS\system32\DETER177\smss.exe');
SetupAVZ('SCAN=C:\WINDOWS\system32');
SetupAVZ('DelVir=Y');
RunScan;
DeleteFile('c:\windows\system32\deter177\smss.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\smss.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\svсhоst.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
DeleteFile('c:\windows\system32\аhtоmsys19.exe');
DeleteFileMask('C:\WINDOWS\system32\DETER177','*.exe', false);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Он должен прибить зловреда с гарантией, я проверил это на полигоне на данном звере
-
-
После вышеуказанных рекомедаций, выполните еще такой скрипт:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\google\googletoolbar1.dll','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\Program Files\Common Files\Windows Live\.cache\c5bde6401c9660b\fssclient_x86.msi','');
QuarantineFile('C:\WINDOWS\Installer\125d17.msi','');
QuarantineFile('C:\Program Files\Mozilla Firefox\extensions\[email protected]\components\fftma.dll','');
DeleteFile('C:\Program Files\Mozilla Firefox\extensions\[email protected]\components\fftma.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам.
Сделайте новые логи.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\deter177\\lsass.exe - Trojan-Downloader.Win32.VB.bnp (DrWEB: Win32.HLLW.Kati)
- c:\\windows\\system32\\deter177\\smss.exe - Trojan-Downloader.Win32.VB.bnp (DrWEB: Win32.HLLW.Kati)
- c:\\windows\\system32\\deter177\\svсhоst.exe - Trojan-Downloader.Win32.VB.bnp (DrWEB: Win32.HLLW.Kati)
- c:\\windows\\system32\\аhtоmsys19.exe - Trojan-Downloader.Win32.VB.bnp (DrWEB: Win32.HLLW.Kati)
-