Показано с 1 по 17 из 17.

Trojan, AdWare, Backdoor и пр. нечисть (заявка № 5019)

  1. #1
    ivac
    Guest

    Trojan, AdWare, Backdoor и пр. нечисть

    Дня четыре назад в Сервисе Explorera над Свойствами обозревателя появилась странная ссылка, кот. я не смог удалить, потом посыпались Trojan, Backdoors, SpyWare, AdWare, RootKit. Касперский в это время стал выдавать сообщения об удалении оных, но всеоставалось на месте. После запуска AVZ4 стал уничтожать прямо по протоколу то что было под подозрением. К сожалению без результата - атаки идут через 5-7 минут, лезут сразу по 16-20 сайтов.
    Спасайте, а то погибну! Заранее благодарен, ivac.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    1. Пришлите как написано в правилах -
    c:\program files\mediagateway\mediagateway.exe
    c:\program files\network monitor\netmon.exe
    c:\windows\newfrn.exe
    C:\WINDOWS\DH.dll
    C:\WINDOWS\System32\Drivers\CBID.SYS
    C:\WINDOWS\System32\drivers\isa32.sys
    C:\WINDOWS\SYSTEM32\drivers\DS1410D.SYS
    winhost32.exe
    c:\newname2.exe
    C:\mousepad2.exe
    c:\keyboard2.exe
    sysls.exe
    C:\WINDOWS\DOWNLO~1\vengobar.dll
    C:\WINDOWS\system32\mqratelc.dll
    C:\WINDOWS\system32\Svint100.dll
    C:\WINDOWS\system32\rLsctrs.dll
    C:\WINDOWS\system32\aRd.dll
    C:\WINDOWS\DOWNLO~1\vengobar.dll
    CTASIO.DLL
    C:\WINDOWS\system32\RadClock.exe

    2. Создайте файл look.bat следующего содержимого -
    Код:
    REG EXPORT "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" out.txt
    notepad.exe out.txt
    и добавьте out.txt, который откроется, при запуске этого файла, в блокноте в следующее сообщение.

    3. Перезагрузитесь в SAFE mode запустите, Hijack, сделайте лог и пофиксете в нём строки -
    F2 - REG:system.ini: UserInit="sysls.exe" - -
    O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINDOWS\DH.dll
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Microsoft Command C] winhost32.exe
    O4 - HKLM\..\Run: [newname] c:\\newname2.exe
    O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe
    O4 - HKLM\..\Run: [mousepad] C:\\mousepad2.exe
    O4 - HKLM\..\Run: [keyboard] c:\\keyboard2.exe
    O4 - HKLM\..\Run: [NewFrn] C:\WINDOWS\newfrn.exe
    O4 - HKLM\..\RunServices: [Microsoft Command C] winhost32.exe
    O4 - HKCU\..\Run: [Microsoft Command C] winhost32.exe
    O4 - HKCU\..\RunServices: [Microsoft Command C] winhost32.exe
    O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearc...p=ZFxdm255YYRU
    O9 - Extra button: (no name) - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
    O9 - Extra 'Tools' menuitem: FUNNY SEXY PICTURES - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
    O13 - Home Prefix: home://
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...up1.0.0.15.cab
    O16 - DPF: {4D61BC1B-345F-408C-A318-E7A4059236A8} (CRicharoundVR2111 Object) - http://www.enternetica.com/viewer/evp.cab
    O16 - DPF: {4E7BD74F-2B8D-469E-C0FF-FD63B39BBF2B} (VengoBar) - http://bar.vengo.ru/toolbar/vengobar.cab
    O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/...ms/hbtools.cab
    O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zang...b37b6906113080
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
    O20 - Winlogon Notify: Hints - C:\WINDOWS\
    O20 - Winlogon Notify: policies - C:\WINDOWS\
    O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\
    O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

    4. после Пуск-Выполнить 2 команды -
    sc stop TlntSvr
    sc config TlntSvr start= Disabled


    5. Повторите логи с пункта 11 правил.

    6. Что можно удалить -
    c:\program files\mediagateway\mediagateway.exe
    c:\program files\network monitor\netmon.exe
    c:\windows\newfrn.exe
    C:\WINDOWS\DH.dll
    winhost32.exe
    c:\newname2.exe
    C:\mousepad2.exe
    c:\keyboard2.exe
    sysls.exe
    C:\WINDOWS\system32\mqratelc.dll
    C:\WINDOWS\system32\Svint100.dll
    C:\WINDOWS\system32\rLsctrs.dll
    C:\WINDOWS\system32\aRd.dll
    C:\WINDOWS\DOWNLO~1\vengobar.dll
    остальное пока не трогайте.
    Последний раз редактировалось RiC; 16.03.2006 в 23:36.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    В дополнение к списку RiC пришлите:

    c:\windows\system32\cthelper.exe


    P.S. Какая версия KAV стоит? - 5.0.522?
    Последний раз редактировалось HATTIFNATTOR; 16.03.2006 в 23:48.

  5. #4
    ivac
    Guest
    P.S. Какая версия KAV стоит? - 5.0.522?[/quote]
    KAV у меня старый - 5.0.388.
    Что касается загрузки требуемых файлов, какой линк ему еще нужен? Я ему пишу тему, а он грубит!!!

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Файлы по ссылке:
    https://virusinfo.info/upload_virus.php

    Линк на эту тему:
    http://virusinfo.info/showthread.php?t=5019

  7. #6
    ivac
    Guest
    HATTIFNATOR, спасибо, я все отослал. Надеюсь, что-то из этой затеи выйдет. Я готов уже переустановить XP.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Из присланного по Drweb:

    c:\program files\mediagateway\mediagateway.exe - Adware.Winad.144
    c:\program files\network monitor\netmon.exe - Trojan.DnsChange
    C:\WINDOWS\System32\drivers\isa32.sys - Trojan.NtRootKit.96
    C:\WINDOWS\system32\rLsctrs.dll - AdWare Adware.Look2me
    C:\Documents and Settings\ivac.ORION-HDA4HRTRQ\Local Settings\Temporary Internet Files\Content.IE5\0VJ3AOT9\keyboard2[1].exe - Trojan.DownLoader.6969
    C:\gimmysmileys2.exe - Adware.DollarRevenue
    C:\keyboard2.exe - Trojan.DownLoader.6969
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\QE2ZHD6U\keyboard2[1].exe - Trojan.DownLoader.6969
    C:\newname2.exe - Adware.DollarRevenue
    C:\RECYCLER\S-1-5-21-1708537768-1788223648-725345543-1003\Dc369.exe - Trojan.DownLoader.6969
    C:\RECYCLER\S-1-5-21-1708537768-1788223648-725345543-1003\Dc370.exe - Adware.DollarRevenue
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\9FUM4EBL\newname2[1].exe - Adware.DollarRevenue



    C:\WINDOWS\System32\sysls.exe - возможно, инфицирован DLOADER.IRC.PWS.Trojan
    Norman Virus Control
    Found Sandbox: W32/Ircbot.AAH.dropper; [ General information ]

    * Accesses executable file from resource section.
    * Creating several executable files on hard-drive.
    * File length: 57344 bytes.

    [ Changes to filesystem ]
    * Creates file C:\WINDOWS\SYSTEM32\sample.exe.
    * Creates file C:\WINDOWS\SYSTEM32\drivers\isa32.sys.

    [ Changes to registry ]
    * Creates key "HKLM\System\CurrentControlSet\Services\isa32" .
    * Sets value "ImagePath"="C:\WINDOWS\SYSTEM32\drivers\isa32.sys " in key "HKLM\System\CurrentControlSet\Services\isa32" .
    * Sets value "DisplayName"="isa32" in key "HKLM\System\CurrentControlSet\Services\isa32" .

    [ Process/window information ]
    * Creates a mutex MutexMutexMutex9864258.
    * Creates service "isa32 (isa32)" as "C:\WINDOWS\SYSTEM32\drivers\isa32.sys".

    [ Signature Scanning ]
    * C:\WINDOWS\SYSTEM32\sample.exe (57344 bytes) : no signature detection.
    * C:\WINDOWS\SYSTEM32\drivers\isa32.sys (11616 bytes) : W32/Ircbot.AAH.
    http://virusinfo.info/showthread.php?p=68676#post68676


    ADD
    C:\WINDOWS\System32\sysls.exe - Win32.HLLW.Blad
    Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
    Win32.HLLW.Blad

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Спасибо Shu_b, ждём свежие логи.
    Всё что перечислил Shu_b можно смело удалить,
    Для удаления
    C:\WINDOWS\System32\sysls.exe
    C:\WINDOWS\SYSTEM32\drivers\isa32.sys
    выбрать обоих через АВЗ через Файл->Отложенное удаление и перезагрузиться.

    Если найдете
    C:\WINDOWS\SYSTEM32\sample.exe
    то поступить с ним можно аналогично sysls.exe.

    После создать reg файл след содержимого -
    Код:
    REGEDIT4
    
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\isa32]
    и добавить его в реестр,
    после повторить логи с п. 11 правил.
    Последний раз редактировалось RiC; 17.03.2006 в 09:55.

  10. #9
    ivac
    Guest
    Убил все, что было указано, однако лапки дрыгают. Большое спасибо за помощь, остался радикальный способ - топором под корень. Будем менять XP. Еще раз спасибо.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Зубы вы тоже предпочитаете топором под корень? Лучше сделайте новые логи, посмотрим, чьи там лапы, усы и хвост.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от ivac
    Убил все, что было указано, однако лапки дрыгают. Большое спасибо за помощь, остался радикальный способ - топором под корень.
    Вообще-то, по моим подсчётам, там должен был look2me остаться, но что-бы его душить надо сначала остальных гадов было вычистить.
    Хотя как пожелаете, форматнуть действительно проще.
    Если будите ставить заново - посетите Windows Update

  13. #12
    ivac
    Guest
    Вы меня должны понять: я не есть вирусолог, я есть простой дизайнер и мне рабочий комп. во-о как нужен. Короче, отформатировал диск, поставил свежий XP. И что вы думаете? Лезут суки!!! Все те же. Сейчас пошлю логи, может еще что-то посоветуете.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Так сказано же - Windows Update. И файрвол, хотя бы встроенный включите.

  15. #14
    ivac
    Guest
    Цитата Сообщение от pig
    Так сказано же - Windows Update. И файрвол, хотя бы встроенный включите.
    Первое, что сделал после загрузки ХР это поставил Windows Update. Увы, это не помогло.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от ivac
    Первое, что сделал после загрузки ХР это поставил Windows Update. Увы, это не помогло.
    Поможет в будующем, если тех что есть преловить, обновление не даст налезть новым. До установки Update вы похоже успели побывать на каком-то сайте кроме Microsoft, где собственно и нацепляли заново.

  17. #16
    ivac
    Guest
    Для установки исходной страницы в Explorere поставил провайдерский сайт www.netvox.ru Это все, что я сделал.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от ivac
    Для установки исходной страницы в Explorere поставил провайдерский сайт www.netvox.ru Это все, что я сделал.
    Сайт похоже чистый.
    Из коллекции найденной в прошлый раз основная масса - AdWare, судя по составу - налетели где-то на загрузчик заразы в виде WMF файла.
    Единственно выпал из компании - sysls.exe это похоже червяк почтовый, хотя возможно и просто сетевой.
    PS: к Касперскому расширенные базы подключены ?

  • Уважаемый(ая) ivac, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Virus detected and Adware backdoor
      От sonnyg333 в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 28.09.2010, 18:24
    2. Ответов: 6
      Последнее сообщение: 17.09.2009, 12:08
    3. BackDoor.Tdss, Trojan.Starter, Trojan.Packed, и Trojan.FakeAlert
      От Stewart little в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.04.2009, 13:05
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:31
    5. Trojan-Downloader.Win32.Agent.sz и прочая нечисть...
      От Cj_Wulf в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.07.2006, 12:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01528 seconds with 20 queries