Показано с 1 по 15 из 15.

Email-Worm, Trojan-Downloader и что-то еще… (заявка № 6088)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2006
    Сообщений
    10
    Вес репутации
    38

    Email-Worm, Trojan-Downloader и что-то еще…

    Помогите разобраться начинающему пользователю!
    Обнаружила недавно на своем компьютере вирусы Email-Worm.Win32.Bagle.fn, Trojan-Downloader.Win32.Bagle.ao, Trojan-Proxy.Win32.Xorpix.v. и что-то еще.
    AVZ их, вроде, удалил. Но, как мне кажется из отчета, какие-то проблемы остались.
    Очень настораживает то, что выходит:

    Опасно - отладчик процесса "explorer.exe" = "C:\WINDOWS\csrss.exe"
    И еще что-то в этом духе. Что с этим делать? К сожалению, плохо разбираюсь в этих вещах…
    Пожалуйста, подскажите, в чем дело!!! Помогите начинающему пользователю!!!
    С правилами ознакомилась.
    Последний раз редактировалось Ана; 23.08.2006 в 18:49.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Ана
    Помогите разобраться начинающему пользователю!
    Обнаружила недавно на своем компьютере вирусы Email-Worm.Win32.Bagle.fn, Trojan-Downloader.Win32.Bagle.ao, Trojan-Proxy.Win32.Xorpix.v. и что-то еще.
    AVZ их, вроде, удалил. Но, как мне кажется из отчета, какие-то проблемы остались.
    Очень настораживает то, что выходит:

    Опасно - отладчик процесса "explorer.exe" = "C:\WINDOWS\csrss.exe"
    И еще что-то в этом духе. Что с этим делать? К сожалению, плохо разбираюсь в этих вещах…
    Пожалуйста, подскажите, в чем дело!!! Помогите начинающему пользователю!!!
    С правилами ознакомилась.
    Это почти наверняка червь семейства Scano (см. http://z-oleg.com/secur/virlist/vir1155.php) и Bagle (http://z-oleg.com/secur/virlist/vir1139.php) - симптомы очень похожи.
    1. Пришлите для анатиза согласно правилам следующие файлы:
    c:\documents and settings\Оксана\application data\hidn\hidn1.exe
    c:\program files\common files\installshield\updateservice\issch.exe
    c:\windows\lsass.exe
    c:\windows\system32\wintems.exe
    C:\Documents and Settings\Оксана\Application Data\Mra\Update\games.dll
    C:\WINDOWS\system32\DRWHOOK.DLL
    C:\Documents and Settings\Оксана\Application Data\hidn\m_hook.sys
    \SystemRoot\System32\Drivers\kbfilter.SYS
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Documents and Settings\Оксана\Application Data\m\mdelk.exe
    C:\Documents and Settings\Оксана\Application Data\hidn\hidn1.exe
    C:\WINDOWS\system32\im_2.exe
    C:\WINDOWS\system32\wintems.exe
    C:\WINDOWS\system32\muangsys.dll
    2. Что у Вас с антивирусами ? В логе видно KAV и Stop, их базы обновляются ?

  4. #3
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    49
    c:\documents and settings\Оксана\application data\hidn\hidn1.exe
    C:\Documents and Settings\Оксана\Application Data\hidn\hidn1.exe
    C:\Documents and Settings\Оксана\Application Data\hidn\m_hook.sys
    Baagle.fy, удалять!
    C:\Documents and Settings\Оксана\Application Data\m\mdelk.exe
    Trojan-Downloader.Baagle.aw, удалять.
    C:\WINDOWS\system32\wintems.exe
    Trojan-Downloader.Baagle.aw, удалять.
    c:\windows\lsass.exe
    Pinch?!, удалять!
    C:\WINDOWS\system32\DRWHOOK.DLL это от доктора, оставить.

    >2. Что у Вас с антивирусами ? В логе видно KAV и Stop, их базы обновляются ?
    Забудь Ж) m_hook.sys драйвер багле их снес и удалил с диска
    Либо АВЗ либо сейф-моде.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от Sanja
    C:\WINDOWS\system32\DRWHOOK.DLL это от доктора, оставить.
    Это от очень старой версии. По уму удалить бы, но LSP потом чинить придётся.

  6. #5
    Junior Member Репутация
    Регистрация
    22.08.2006
    Сообщений
    10
    Вес репутации
    38
    Всем привет и спасибо за отклики!
    1. Файлы отправила. Но почему-то через страничку https://virusinfo.info/upload_virus.phpзакачать не получилось. Пришлось скинуть на адрес virus@virusinfo.info.
    И еще… почему-то из 13 запрошенных файлов нашлось только 9.

    2. Что касается антивирусников. KAV не работает, но почему-то и не удаляется. При попытке удаления программы через панель управления выходит:
    Неверный параметр /locals¬1/temp/set7.tmp
    А при открытии – «Ошибка загружаемого профиля».
    Stop установлен был буквально на днях – работает, базы обновляются.
    Перед запуском AVZ на всякий случай скачала DrWeb - CureIT! и проверяла систему, согласно инструкциям, сначала через нее.
    3. Олег, спасибо за ссылки. Хоть немного теперь представляю, с кем имею дело. А что дальше-то делать с этими ужасными Scano и Bagle? Удалять, как в этих ссылках написано?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Результат проверки присланных файдов:
    c:\documents and settings\Оксана\application data\hidn\hidn1.exe - инфицирован Win32.HLLM.Beagle.9158
    C:\Documents and Settings\Оксана\Application Data\hidn\m_hook.sys - инфицирован Win32.HLLM.Beagle
    c:\windows\system32\wintems.exe - инфицирован Trojan.DownLoader.6508

  8. #7
    Junior Member Репутация
    Регистрация
    22.08.2006
    Сообщений
    10
    Вес репутации
    38
    Понятно...
    Ну, а делать-то что? Удалить их или как-то лечить?
    Подскажите!

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Ана
    Понятно...
    Ну, а делать-то что? Удалить их или как-то лечить?
    Подскажите!
    Нужно для начала сделать так:
    1. Закрыть все программы
    2. Запустить AVZ, пролечить систему с включенным противодействием руткитам, после чего активировать AVZ Guard
    3. Через отложенное удаление AVZ (Файл/Отложенное удаление) поочередно удалить файлы:
    c:\documents and settings\Оксана\application data\hidn\hidn1.exe
    C:\Documents and Settings\Оксана\Application Data\hidn\m_hook.sys
    c:\windows\system32\wintems.exe
    c:\windows\lsass.exe
    4. Выполнить «Файл/Восстановление системы» в AVZ, там отметить пункт «Удаление отладчиков системных процессов» и нажать «Выполнить отмеченные операции»
    5. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard
    6. После перезагрузки повторно сделать логи согласно правилам и поместить сюда - для контроля
    Перед выполнением этого алгоритма обязательно нужно изучить (или распечатать) совет http://z-oleg.com/secur/advice/adv1103.php - он вероятнее всего не понадобится, так как необходимая операция делается на шаге 4 предложенного алгоритма, но на всякий случай, если вдруг после перезагрузки исчезнет рабочий стол, то этот совет поможет.

  10. #9
    Junior Member Репутация
    Регистрация
    22.08.2006
    Сообщений
    10
    Вес репутации
    38

    Проблема

    Попыталась сделать то, что Вы посоветовали. Но на этапе 2, во время работы AVZ вышло сообщение

    Invalid pointer operation

    Файлы, которые нужно удалить через отложенное удаление при обзоре не обнаруживаются.
    Папку hidn в принципе нигде не могу найти.
    lsass.exe есть, но путь к ней не
    C:\WINDOWS\ lsass.exe
    а C:\WINDOWS\system32\lsass.exe

    Этот файл удалить?
    Что делать? Помогите!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Файл C:\WINDOWS\system32\lsass.exe удалять НЕЛЬЗЯ.

    на этапе 2, во время работы AVZ вышло сообщение
    Invalid pointer operation
    Скопируйте сюда все то, что выводится в этот момент AVZ в Протокол.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    C:\WINDOWS\system32\lsass.exe - это файл системный, его удалять не надо.

    Я так понимаю, что надо не через обзор файлы искать (у меня тоже противодействие руткитам не всегда спасало от сокрытия hidn), а просто скопировать в список AVZ приведённые в сообщении Олега пути.

  13. #12
    Junior Member Репутация
    Регистрация
    22.08.2006
    Сообщений
    10
    Вес репутации
    38
    Спасибо за совет скопировать в список AVZ приведённые пути! Помогло, но частично. AVZ пишет, что не обнаружен файл
    C:\WINDOWS\system32\lsass.exe
    С остальными файлами сработало.
    Все остальное, согласно инструкциям, сделала.
    Высылаю логи.
    Посмотрите, пожалуйста…
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Вроде чисто. Пофиксите в HijackThis вот эти строки:
    Код:
    O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
    O4 - HKCU\..\Run: [mule_st_key] C:\Documents and Settings\Оксана\Application Data\m\mdelk.exe
    O4 - HKCU\..\Run: [drv_st_key] C:\Documents and Settings\Оксана\Application Data\hidn\hidn1.exe
    Наверное, ещё вот это надо:
    Код:
    O4 - HKLM\..\Run: [Cleanup] MCRG
    А что с C:\WINDOWS\system32\im_2.exe? Его никто не видел? Если прошлый раз не обнаружился, то пофиксить также:
    Код:
    O4 - HKCU\..\Run: [im_autorn] C:\WINDOWS\system32\im_2.exe
    Перезагрузитесь и ещё раз лог HijackThis сделайте.

  15. #14
    Junior Member Репутация
    Регистрация
    22.08.2006
    Сообщений
    10
    Вес репутации
    38
    Спасибо! Так и сделала.
    А вот новый лог HijackThis.
    Посмотрите, пожалуйста, теперь все в порядке?..
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Ага, фениксы как будто не возродились, это обнадёживает. Подождём других мнений.

  • Уважаемый(ая) Ана, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Worm.VBS.Agent + Trojan-Downloader.Win32.Small.zwh
      От zekinja в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:12
    2. Ответов: 3
      Последнее сообщение: 03.03.2008, 02:43
    3. Ответов: 2
      Последнее сообщение: 22.11.2007, 21:04
    4. И снова Email-worm.
      От Бегемот в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 15.09.2006, 15:25
    5. Trojan.Lodear.D;Email.Worm.Bagle
      От paralit в разделе Помогите!
      Ответов: 32
      Последнее сообщение: 09.07.2006, 23:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00609 seconds with 23 queries