Показано с 1 по 18 из 18.

Malware Doctor (заявка № 47441)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    18
    Вес репутации
    55

    Exclamation Malware Doctor

    Помогите пожалуйста с этим.

    Пробовали разные антивирусы. Ничего не помогает. Страдаем уже неделю, пока на ваш сайт не забрели.

    Очень просим.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Макафи деинсталировать обязательно, иначе ничего не получиться. Он авз мешает работать.
    Только после удаления хозяйства от макафи выполнить скрипт в авз:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     DelBHO('{aff01325-0fc2-4749-8914-fbf0565ad9cc}');
     QuarantineFile('C:\Documents and Settings\LocalService\Application Data\1361538659.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\mfetdik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\mfehidk.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\84492c52.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\4d804b7.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\478a92ea.sys','');
     QuarantineFile('C:\WINDOWS\system32\jbnmcd.dll','');
     TerminateProcessByName('c:\windows\system32\avast!antivirus.exe');
     QuarantineFile('c:\windows\system32\avast!antivirus.exe','');
     DeleteFile('c:\windows\system32\avast!antivirus.exe');
     DeleteFile('C:\WINDOWS\system32\jbnmcd.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\478a92ea.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\4d804b7.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\84492c52.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\mfehidk.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\mfetdik.sys');
     DeleteFile('C:\Documents and Settings\LocalService\Application Data\1361538659.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать -> : http://virusinfo.info/upload_virus.php?tid=47441).
    Повторить логи.

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    18
    Вес репутации
    55
    Я читал, что его надо удалить и сделал это перед диагностикой AVZ.
    Но возможно нужно было перегрузить компьютер после удаления макафи и только после этого делать диагностику?

    Сейчас макафи в трее по крайней мере не фигурирует. Гляну на запущенные службы.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Цитата Сообщение от Blahonix Посмотреть сообщение
    Я
    Но возможно нужно было перегрузить компьютер после удаления макафи и только после этого делать диагностику?
    Естественно Ватсон, перезагрузка необходима Драйвера от него в логах висели.
    Выполняйте то что сказал.

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    18
    Вес репутации
    55
    Я в шоке. Этот нехороший доктор пропал.
    Хотел бы знать, как вы это сделали. Спасибо.

    Карантин вложил.

    Логи минут через 30. Там руткиты остались и еще что-то.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    карантин по ссылке http://virusinfo.info/upload_virus.php?tid=47441 присылать, без красной карточки никак не понять?

  8. #7
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    18
    Вес репутации
    55
    Сорри, забегался. Карантин отослал по ссылке.

  9. #8
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    18
    Вес репутации
    55
    Сделал повторное сканирование.
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    18
    Вес репутации
    55
    Только что обнаружили, что с этого компьютера активно рассылается спам.
    IP-адрес в блок-листе.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Скачать Gmer. В нем найти и удалить:C:\WINDOWS\System32\drivers\47380c72.sys
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('c3fa27c5');
     QuarantineFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\84492c52.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\4d804b7.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\478a92ea.sys','');
     DeleteService('84492c52');
     DeleteService('4d804b7');
     DeleteService('478a92ea');
     QuarantineFile('C:\WINDOWS\System32\drivers\47380c72.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\47380c72.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\c3fa27c5.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать заново логи после перезагрузки.
    Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=47441
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    18
    Вес репутации
    55
    Сделал. Логи обновил.

    Гмер ругнулся на найденый в памяти руткит, но удалить не смог. Удалил руткит, запустив Gmer через AVZGuard.
    После прогона вашего скрипта, Gmer перестал ругаться.

    Карантин закачал.
    Вложения Вложения

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('c5b2b8ae');
     DeleteFile('C:\WINDOWS\System32\drivers\c5b2b8ae.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    сделать заново логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    18
    Вес репутации
    55
    Выполнил. Все сделал как велели, хотя спам пропал еще после предыдущего скрипта.

    Там действительно еще что-то есть или просто это перестраховка?
    Вложения Вложения

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Это зачистка следов. Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('84492c52');
     BC_DeleteSvc('4d804b7');
     BC_DeleteSvc('478a92ea');
     DeleteFile('C:\WINDOWS\System32\drivers\478a92ea.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\4d804b7.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\84492c52.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить станд скрипт №2 и прислать лог.

    После этого еще надо будет пролечить реестр по теме http://virusinfo.info/showthread.php?t=43700
    Последний раз редактировалось PavelA; 08.06.2009 в 17:47.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    18
    Вес репутации
    55
    Выложил скрипт №2.
    Сейчас буду изучать тему лечения реестра.
    Вложения Вложения
    Последний раз редактировалось Blahonix; 10.06.2009 в 16:05.

  17. #16
    Junior Member Репутация
    Регистрация
    05.06.2009
    Сообщений
    18
    Вес репутации
    55
    Операционная система не обновляется. Пишет, что ошибка, недостаточно прав.

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Blahonix Посмотреть сообщение
    Операционная система не обновляется.
    Реестр вылечили? Если нет, то обновляться не будет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 46
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\localservice\application data\1361538659.exe - not-a-virus:FraudTool.Win32.MalwareDoctor.ar ( DrWEB: Trojan.Fakealert.4335, BitDefender: Gen:Trojan.Heur.Hype.50609F9F9F )
      2. c:\progra~1\netsup~1\pcihooks.dll - Trojan-Spy.Win32.Agent.avvk ( DrWEB: Program.Keylogger.15 )
      3. c:\windows\system32\avast!antivirus.exe - Trojan-Downloader.Win32.Agent.cfbq ( DrWEB: Trojan.DownLoad.37569, BitDefender: Trojan.Downloader.Agent.AANY )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Blahonix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Malware Doctor
      От MexaHuk в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.06.2009, 18:27
    2. Malware Doctor
      От Alexandra91 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 07.06.2009, 17:44
    3. Malware doctor
      От w03zd8rc в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.06.2009, 16:05
    4. Malware doctor
      От boobleman в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.06.2009, 12:54
    5. malware doctor
      От w03zd8rc в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.06.2009, 03:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00305 seconds with 18 queries